martes, 7 de febrero de 2017

Analizando los entornos Big Data de tu sitio PHP

El Big Data es un mundo que cohabita con todos nosotros. El Big Data no es mucha información, es saber qué hacer con esa información. Por supuesto, un atacante que sepa usar esos "trozos" de información que empresas y nosotros vamos dejando, podría obtener casi todo lo que se proponga. Tenemos que ir siendo conscientes de el gran problema antes de que el mundo IoT se implemente del todo en nuestros hogares.



A lo largo de mi breve vida en el mundo de la seguridad informática han sido muchos los sitios webs que usan PHP, los que he visto con fallos de seguridad o fugas de información importantes. Tanto, que recientemente tuve que analizar un sitio PHP y buscando información sobre un fallo que no sabia en qué consistía, fui enredando y enredando hasta que di con otro sitio en PHP que mostraba mucha información que, al menos yo, considero de mucho valor.


El sitio estaba montado sobre un Linux, algo que sabemos por la parte de la tabla en la que nos dice "Server OS: Linux" y porque más abajo, en memoria usado, podemos ver la SWAP, exclusivo en sistemas Linux.


También podemos ver que, en ese momento, estaban usando Ethernet. Algo que a priori no nos puede servir de mucho, pero que sabemos que está conectado por cable, así que si analizásemos la red wifi, lo mismo no obtendríamos información valiosa. Al menos sabemos por qué camino tirar.


Una de las cosas que vi y que más me sorprendió, es que no tuviese este sitio PHP habilitadas las Magic Quotes. Me sorprendió ya que yo consideraba que los administradores usaban PHP por, entre otras cosas, porque tenían habilitado las Magic Quotes por defecto. Es cierto que cada día aprendes algo nuevo. Dejando esta anécdota, podemos encontrar los componentes que este sitio usa y además, ver la versión de PHP que usa, con lo que si tuviésemos que buscar un exloit, buscaríamos un exploit que afecte solamente a esta versión.



En una de las múltiples tablas que podemos observar, disponemos también de una tabla para saber la Base de Datos usada. Esto a la hora de buscar un exploit para según qué base de datos también nos va a ayudar bastante.

¿Hackeamos el Mundo?

P.D: Estos son los árboles que he ayudado a plantar.



No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...