Ayer mismo, ya os hablé de nuestro nuevo proyecto de seguridad ACLAS, y conforme terminé de redactar el post en el blog-que fue bastante tarde- me metí en ACLAS y empecé a mirar por lo que llevamos desarrollado-que ya puede dar para enredar un buen rato- y me topé con algo que me llamó la atención y que me gustaría contar.
ACLAS, me mostró por pantalla una web que podía permitir a un atacante de subir cualquier archivo a una determinada web, entonces decidí buscar cuántas webs se veían afectado por este fallo.
Así que busqué en 5 ó 6 webs para ver qué me me permitían hacer. Y lo que me encontré, en la mayoría de los casos me devolvían algo parecido a la captura que os muestro a continuación.
Como he dicho, aquí te permiten subir cualquier archivo. Yo no lo he hecho, pero cualquiera podría subir un archivo que no pueda dejar muy bien a la empresa, pero eso ya lo dejo a la conciencia de cada uno, os recuerdo que nosotros somos los buenos.
Otra de las cosas que te reporta ACLAS, son las cabeceras HTTP y te dice qué webs permiten que los usuarios envíen datos suyos personales, tales como el mail, el nombre, el teléfono,etc y que esas webs que permiten enviar esos datos, van en HTTP, lo que podría permitir a un atacante, conectándose a la misma red wifi que la víctima, obtener toda esa información. Todo esto nos lo dice ACLAS.
Como veis, podemos obtener el mail, el asunto y el comentario-que e este caso he probado con test@test.com y derivados-. Imaginad que fuese una organización que usa este sistema para que sus clientes reportes que les van mal un determinado aspecto de una herramienta o una app, pues un atacante podría ver qué le va mal en una herramienta y atacar a la víctima. Algo que por un fallo de un tercero, te puede perjudicar a ti.
¿Hackeamos el mundo?
Blog de Seguridad Informática de Manu Alén. Estudio de la seguridad en Redes, aplicaciones webs,aplicaciones móviles, sistemas y servidores. Una entrada diaria en este blog que sirve como cuadernos de notas
Suscribirse a:
Enviar comentarios (Atom)
Entrada destacada
El server me sabe a poco.
Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...

No hay comentarios:
Publicar un comentario