• Auditoria Web

  • Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
 #424430  por MichBukana
 11 Sep 2013, 19:35
Esta es una práctica que al parecer se está utilizando cada vez más, ya son varias webs que me encuentro con esta forma de acceder a la cuenta de un usuario sin previa autenticación y que encima no caducan las urls pasado cierto tiempo.
A continuación voy a explicar algunas de las ventajas para un atacante e inconvenientes para los desarrolladores en cuanto al uso de este método.

Referer
El Referer sería un vector para obtener estas jugosas urls algo simple de lo que se podría sacar el acceso a la cuenta de la víctima es como si en el Referer se transmitiera las credenciales. Un ejemplo sería realizando una aplicación que recoja los Referer y pidiendo a la víctima que acceda a la web donde se encuentra esta aplicación donde se obtendrán estas urls que transmiten el key para entrar como usuario logead.

Ficheros del historial de los navegadores
Otro causa de por qué no utilizar este método y otro truco de como robar estas urls como todas las otras por las que el usuario navega es el fichero donde se guarda el historial de navegación por ejemplo en Google Chrome con Windows 8 se haya en un fichero que se encuentra en C:\Users\RootedLab\AppData\Local\Google\Chrome\User Data\Default\History Index 2013-09

Imagen
Imagen 1: Historial de Chrome


Google Dork
Un ejemplo es el caso de http://www.humblebundle.com se dieron cuenta un poco tarde sin poder evitar la indexación de sus urls ya que como se puede ver en la segunda imagen se encuentra configurado el robots.txt para deshabilitar que se indexe estas urls pero como se ve en la primera imagen se dieron cuenta algo tarde ya que hay indexadas bastantes de ellas con acceso a la cuenta aunque ya reclamadas, por ello esta sería otra truco a tener en cuenta

Imagen
Imagen 2: Urls de acceso indexadas
Imagen
Imagen 3: Robots.txt


Fuerza Bruta
Casos de webs como https://www.humblebundle.com/downloads?key=4vMtRuTHm53R que permiten el acceso a la cuenta a través de la url tienen una clave compuesta de 12 caracteres aleatorios alfanuméricos en minúscula (27), mayúscula(26) y numérica(10) por ello cabe un rango de posibles combinaciones de 63^12 algo inviable por tiempo y recursos además habría que contar con la posibilidad de realizar varias denegaciones de servicio, pero no por ello descartable para otras webs.

Imagen
Imagen 4: Cuenta humble


Otros detalles de por que no usar este método
Antes se solía mandar al correo un email las webs donde uno se acababa de registrar con el usuario y contraseña una práctica que ya no se suele usar por el hecho de que una vez comprometido el correo un atacante podía ver esas credenciales y ahora con el método del acceso en la url existe otro vector por el que el atacante acceda a X web como usuario logeado teniendo de este modo la misma importancia que enviar las credenciales al correo, aunque no le será tan fácil al atacante que se haya colado en su correo filtrar los emails como se hacía antes con los que contenían credenciales filtrando por “password, contraseña, usuario, login”, ya que no hay un patrón que filtre las urls que tenga la clave en la variable… tal vez por key? Para el caso de http://www.humblebundle.com si hubiese servido, pero cada web tendrá su propio nombre de variable

Imagen
Imagen 5: Bandeja de entrada gmail


Hay que tener en cuenta que cualquier usuario si guarda una url como esta es más susceptible a guardarla sin la seguridad y protección que podría emplear para guardar unas credenciales, por ello resulta más fácil robar una url con el acceso que una combinación de usuario y contraseña


Fuente: http://code-disaster.blogspot.com/
 #424433  por Pr0ph3t
 11 Sep 2013, 20:36
Buen hilo Mich, un saludo
 #424483  por MichBukana
 12 Sep 2013, 10:45
Gracias por comentar! ;)
 #424501  por Bibeto
 12 Sep 2013, 17:17
Gracias por el dato !

Recuerdo aquellos tiempos en los que había páginas que te mostraban en la url la contraseña xD jajaja que tiempos maravillosos
 #424579  por MichBukana
 13 Sep 2013, 13:56
Bibeto escribió:Gracias por el dato !

Recuerdo aquellos tiempos en los que había páginas que te mostraban en la url la contraseña xD jajaja que tiempos maravillosos
Esto es básicamente lo mismo.
 #438422  por Gabow135
 14 Mar 2014, 04:01
buen post.... gracias por la info :D
 #444878  por yesmercy
 04 Jun 2014, 17:01
Gracias por compartir
 #471912  por tremendo
 29 May 2015, 12:39
gracias amigo