domingo, 17 de junio de 2018

Mark Webber, la seguridad te ha pasado por la derecha.

Todas las personas famosas hoy en día tienen o quieren tener una página web. "Es el mercado amigo" tal y como diría Rodrigo Rato. El problema no es que cualquiera pueda tener una web, no, el problema es que cualquiera puede, sin tener ni idea, crear una web con todo lo que eso supone. Si es una persona normal y corriente, puede no pasar nada, pero cuando eres una persona famosa, cuidado, que tu web puede ser un buen target para realizar un APT.


Antes de nada, explico el título del post. Imagino que todo el mundo sabe que Mark Webber fue un piloto de F1, por lo que utilizar el "te han pasado por la derecha" me parecía oportuno. Además, algunx sabrá que me encanta ver "La Vida Moderna", donde usan mucho el "me han pasado por la derecha".



Pues la web de Mark Webber está hecha con un Wordpress, algo que se entiende, ya que la gran mayoría de webs hoy en día están hechas en Wordpress. Pero el problema no es ese, el problema es que Mark Webber o sus ingenieros no han hecho los deberes.


Utilizando el navegador buscando el info.php, vemos toda la información relativa al servidor. Esto es un problema por parte de los programadores de la web, que son quienes se han dejado toda esta información de forma totalmente pública, por lo que cualquier persona podría conocer el estado del servidor, información muy útil para posibles ataques de ingeniería social o APT.


Pero no nos quedamos ahí. Otra cosa que podemos hacer es ver una de las imágenes de su web y tratar de acceder a la carpeta de subidas.


Nos dará un error, pero nos devolverá la versión exacta del servidor, en este caso un nginx 1.10.2.


Si vemos las versiones más actuales de nginx, vemos que la última es la 1.15.0, pero la stable es la 1.14.0, que son unas cuantas versiones más.


Si miramos algunos de los cambios que se han aplicado, observamos que muchos cambios tienen que ver con fallos de seguridad, aunque podemos comprobarlo mejor con CVEDetails.


Esto es un ejercicio de irresponsabilidad enorme, ya que Mark Webber es un personaje público muy conocido que recibe tráfico de distintos países.


En el showcase de Wordpress vemos que recibe tráfico de 189 países, por lo que lo convierte en un buen target para realizar en un APT y controlar varios equipos de todo el mundo.

Hacer los deberes de tu servidor web es algo que se debe hacer y tener más cuidado. Utilizando el navegador ya hemos sido capaces de obtener una gran cantidad de infomación relativa a la web de Mark Webber.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...