martes, 26 de febrero de 2019

Certificados almacenados de forma pública y otra forma de matar gatitos

Cuando reviso la seguridad de alguna web y encuentro algo, siempre me sorprende algo. Cada vez es de su padre y de su madre y hay cuestiones que tengo que razonarlas mucho para tratar de entenderlo, pero hay veces que me supera.


El otro día, tras volver del trabajo, estaba cansado y quise buscar cosas sencillas para ver qué encontraba y tiré de Google Hacking para ver qué encontraba.


Pues estaba auditando un Wordpress y me encontré que la web almacenaba un certificado digital, y es inevitable pensar en lo problemático si fuesen los certificados de sus usuarios. Un atacante podría descargárselos y hacerse pasar en entidades públicas por esas personas.

Y todo por no restringir mediante la selección correcta de permisos y ownerships esas carpetas. Un trabajo sencillo para cualquier SysAdmin, aunque siendo honestos, muchas veces el problema no es de los SysAdmins, es de la empresa en sí y sus procedimientos internos.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...