ACLAS, me mostró por pantalla una web que podía permitir a un atacante de subir cualquier archivo a una determinada web, entonces decidí buscar cuántas webs se veían afectado por este fallo.
Así que busqué en 5 ó 6 webs para ver qué me me permitían hacer. Y lo que me encontré, en la mayoría de los casos me devolvían algo parecido a la captura que os muestro a continuación.
Como he dicho, aquí te permiten subir cualquier archivo. Yo no lo he hecho, pero cualquiera podría subir un archivo que no pueda dejar muy bien a la empresa, pero eso ya lo dejo a la conciencia de cada uno, os recuerdo que nosotros somos los buenos.
Otra de las cosas que te reporta ACLAS, son las cabeceras HTTP y te dice qué webs permiten que los usuarios envíen datos suyos personales, tales como el mail, el nombre, el teléfono,etc y que esas webs que permiten enviar esos datos, van en HTTP, lo que podría permitir a un atacante, conectándose a la misma red wifi que la víctima, obtener toda esa información. Todo esto nos lo dice ACLAS.
Como veis, podemos obtener el mail, el asunto y el comentario-que e este caso he probado con test@test.com y derivados-. Imaginad que fuese una organización que usa este sistema para que sus clientes reportes que les van mal un determinado aspecto de una herramienta o una app, pues un atacante podría ver qué le va mal en una herramienta y atacar a la víctima. Algo que por un fallo de un tercero, te puede perjudicar a ti.
¿Hackeamos el mundo?
No hay comentarios:
Publicar un comentario