domingo, 5 de marzo de 2017

Matando a matarifes Parte [II]

Ayer ya publiqué la primera parte de "Matando a matarifes". Hoy toca la segunda parte, aunque ya aviso que publicaré más entradas sobre este tema. Aún estoy detrás de otros tantos mataderos y en función de lo que obtenga, se realizarán unas acciones u otras.



Mi método, suele ser siempre que busco fallos de seguridad, primero tratar de encontrar varios empleados con varias direcciones de correo electrónico. Para esto, siempre hago uso de la herramienta theharvester y posteriormente, pruebo esas direcciones de correo en las diferentes redes sociales para ver si tienen asociada una dirección de correo corporativa con una cuenta personal.


El caso es que encontré uno de los muchos mataderos que hay distribuidos por la Península y decidí coprobar su seguridad. Se puede observar que aparecen varias direcciones de correo electrónico que, antes de nada, podríamos pasar por Have I Been Pwned? para saber si ya han sido hackeados antes. Este paso lo obviaré y me pondré a buscar intensamente por las redes sociales y tratar de econtrar quié está detrás de cada identidad digital.


Aunque, posiblemente lo peor sea que esta web de este matadero, permitía la ejecución de código externo de otra web, que, como en toda auditoría, también se deben analizar las páginas externas que permiten las empresas. Pues, una de esas webs externas a la web del matadero, escribiendo el código del script en HTML <script>alert(String.fromCharCode(88,83,83))</script>, podíamos ver que era vulnerable a ataques XSS, algo que cualquier atacante podría aprovechar.


Hasta aquí la segunda parte de Matando a Matarifes. Sigo investigando algunos mataderos más que espero conseguir acceso a determinados lugares que pueden ser realmente importantes. Además, estoy detrás de varios científicos que han podido manipular determinados estudios con la aparición de maletines que varias industrias cárnicas les han aportado. El mundo puede temblar, que el Diablo ha resurgido, el Mundo se va a hackear y parchear.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...