Iloo

https://iloo.wordpress.com

Archivos en la Categoría: Web Applications Security

Web Applications Security: Coteor (2)

Yendo un paso más allá, teniendo el acceso al modem, también se puede ver la línea telefónica  a la que pertenece la red wireless:

coteor4

Coteor usa la línea telefónica como el username, por tanto se puede conocer la dirección exacta de donde se encuentra la red wireless, para esto se puede buscar en la guía telefónica o usar el servicio que provee www.oruroweb.com.

Una vez teniendo las direcciones, mediante el API de Google maps se puede señalar donde se encuentra cada red, aquí un pequeño ejemplo de algunas redes disponibles:

coteor5

Web Applications Security: Coteor (1)

Tengo esta entrada pendiente desde hace un par de años este tema es bastante delicado y esta relacionado al acceso a los equipos modem ADSL proporcionados por Coteor.

Pero contando un poco la historia, después de firmar el contrato de Internet ADSL y esperar un día viene a mi hogar la persona encargada de la instalación del modem, esta persona instala y configura el dispositivo, después le pregunto si podría darme el acceso al modem (ZyXEL P-660HN-T1A) para poder realizar algunas configuraciones extras, cambiar el SSID, contraseñas, hablitar servicios HTTP, FTP, etc, tal persona me indica que no puede darme ese dato y si necesito algún servicio extra tendría que contactarme con Coteor y ellos analizarían el tema.

Una vez se retira el técnico procedo a obtener la contraseña de acceso al router, tal contraseña no es algo difícil de obtener, se pueden obtener las contraseñas de todos los routers entregados por Coteor.

Luego usando nmap se puede realizar un mapeo, de los equipos conectados en la red:

nmap -sP 200.110.51.1-255

*Mapeando solo el ultimo octeto.

Y se obtiene una respuesta de este tipo:

Nmap scan report for 200.110.51.3
Host is up (0.076s latency).
Nmap scan report for 200.110.51.9
Host is up (0.085s latency).
Nmap scan report for 200.110.51.13
Host is up (0.078s latency).
Nmap scan report for 200.110.51.14
...

Probando la dirección 200.110.51.14:

coteor1

Y en la mayoría de los hosts se tendrá el mismo resultado, probando con la contraseña:

coteor2

Y también se tiene la contraseña de la red wireless:

coteor3

Esto no sucedería si Coteor brindara la contraseña de acceso al modem ya que en este caso sería el usuario el responsable de la seguridad de su red, responsable de usar una contraseña segura para su modem, pero como este no es el caso, Coteor sería el único responsable de la seguridad de las redes de los usuarios.

Web Applications Security: www.bancounion.com.bo (1)

Si bien el uso de CMS‘s ayuda y agiliza la publicación de un portal, no todo es tan fácil y simple, es necesario probar muchas cosas, asegurar los datos y la información, hacer pruebas de contenido, seguridad, etc; tomando en cuenta que un portal puede ser una vía de acceso al contenido del servidor , la red de equipos y la información en y detrás de esta.

Por ahora no tengo muchas ganas y tiempo para ir probando esto a detalle, pero haciendo una prueba rápida y simple al portal del Banco Unión S.A., cuya dirección es www.bancounion.com.bo, se tiene:

De aquí:

  • SO: windows, lo más probable NT.
  • Servidor web: Apache.
  • Ruta de instalación del servidor web.
  • CMS: joomla.
  • Un error.
  • Y un administrador distraído.

Web Applications Security: tip 2, datos de acceso

Ahora que tengo tiempo (de manera obligatoria, debido a un accidente) voy a mostrar un post que tenía guardado hace rato.

Otro caso de la vida real, si bien el usuario es considerado el eslabón más débil dentro de una aplicación en general, y no por dar un poco más de facilidad a estos se puede exponer su seguridad.

Vamos al grano tenemos la siguiente aplicación perteneciente a Laboratorios Droguería INTI S.A.:

Para entrar a la aplicación hay que “seleccionar” un nombre de usuario y escribir un Contraseña, si escribí “seleccionar”, ya que todos los usuarios son mostrados en un campo tipo select, ahora usando fuerza bruta ya se puede ingresar fácilmente a la aplicación, pero alto esto continúa…

Lo peor es que algunos nombres de usuario son iguales a las contraseñas, y por tanto uno puede ingresar a la aplicación de manera mucho más sencilla.

De todo esto se pueden rescatar las siguientes sugerencias:

  1. Si bien las aplicaciones tienen que ser intuitivas, fáciles y rápidas de usar, pero no por esto se puede dejar de pensar que un usuario no pueda memorizar y escribir el id de acceso a la aplicación.
  2. No se deben de mostrar todos los usuarios y menos en un campo de tipo select.
  3. El clásico error es que la contraseña sea igual al nombre de usuario, no es difícil para un usuario recordar un id de acceso y un contraseña que sean distintas, en caso de que fuera muy muy difícil entonces se podrían usar los correos electrónicos como cuentas de usuario, es algo que siempre ayuda.

Web Applications Security: www.expoteco.org (1)

Esta semana se realiza en la ciudad de Oruro el Expoteco 2010 y ya que todo mundo esta hablando de este evento, me di a la tarea de dar una revisión a su sitio, el cual es www.expoteco.org.

Al parecer el sitio tiene bastante contenido Ajax (el diseño deja mucho que desear, pero eso lo dejamos para otro post), no parece tener (por el momento) alguna vulnerabilidad que explotar, navegando por el sitio llegamos hasta un directorio donde se encuentra la aplicación dompdf que básicamente sirve para generar archivos PDF a partir de archivos HTML (el desarrollador JarJar Soft se olvido borrar algunos archivos), en la propia aplicación hay una sección de demo online, eureka! un enorme agujero de seguridad.

Dentro del portal existe un archivo llamado DataBase.php, me late que este archivo contiene datos de conexión a la base de datos ^^

En el demo online de dompdf escribo una función php que sirve para ver el contenido de los archivos y siguiendo el modo de uso de dompdf tengo las siguiente ordenes:

<?php
 require_once("../dompdf_config.inc.php");
 show_source("../../DataBase.php");
 $dompdf = new DOMPDF();
 $dompdf->load_html($html);
 $dompdf->render();
 $dompdf->stream("sample.pdf");
?>

Y ya tenemos los datos de acceso a la base de datos.

Ya solo queda imaginar lo que se puede hacer…