PDA

Ver la versión completa : Cómo un novato pudo entrar al control de un website gracias a un webmaster más novato



LUK
19-11-2014, 11:45
En estos días estaba iniciando mi aprendizaje en el tema de Google Hacking y probando con los operadores lógicos y palabras claves que se pueden usar es este motor de búsqueda para obtener información más específica, encontré un error que es muy común en los sistemas de información: el uso de claves por defecto que traen los productos de fábrica o de claves que son muy comunes para la autenticación en un sistema u otro servicio al que se esté registrado.


http://3.bp.blogspot.com/-408dI5x0BE4/VGgsIVNdZXI/AAAAAAAAEXw/gqhw-zW1eQI/s1600/google-hacks.jpeg (http://3.bp.blogspot.com/-408dI5x0BE4/VGgsIVNdZXI/AAAAAAAAEXw/gqhw-zW1eQI/s1600/google-hacks.jpeg)


Basta con buscar información sobre todo lo que se puede hacer con Google Hacking y empezar a probar. No intenté nada complicado, valga aclarar que este es mi primer intento.


http://2.bp.blogspot.com/-8EVvqp97qQY/VGgou1LbwNI/AAAAAAAAEXM/u7AYqSeBQWY/s1600/GoogleHacking1.png (http://2.bp.blogspot.com/-8EVvqp97qQY/VGgou1LbwNI/AAAAAAAAEXM/u7AYqSeBQWY/s1600/GoogleHacking1.png)



Todo comenzó por ir probando las palabras claves, e ir revisando aleatoriamente los resultados que Google me arrojaba para ver que se podía conseguir con cada búsqueda.




http://1.bp.blogspot.com/-9bzCGMN5M_0/VGgpJhyZgII/AAAAAAAAEXU/cOyvQILakg0/s1600/GoogleHacking2.png (http://1.bp.blogspot.com/-9bzCGMN5M_0/VGgpJhyZgII/AAAAAAAAEXU/cOyvQILakg0/s1600/GoogleHacking2.png)



Al abrir aleatoriamente algunos de los resultados me encuentro con los archivos *.php que utiliza la página para su funcionamiento. El primer archivo que intento abrir me muestra un formulario donde podía crear algo dentro de su sistema de información, lo cual es raro que deje pasar como ‘pedro por su casa’ a cualquiera. Así que pruebo con otros archivos *.php me arrojaba el mensaje esperado, ‘acceso denegado'.



http://4.bp.blogspot.com/-aB2FZIllMOw/VGgpxfmckTI/AAAAAAAAEXc/QiTIw2N1L_8/s1600/GoogleHacking3.png (http://4.bp.blogspot.com/-aB2FZIllMOw/VGgpxfmckTI/AAAAAAAAEXc/QiTIw2N1L_8/s1600/GoogleHacking3.png)
Entre todos los archivos estaba el ‘login.php’ que dirigía al formulario donde el administrador del sitio web se autentica.



http://3.bp.blogspot.com/-S0mbeF3HuZY/VGgqAffg0iI/AAAAAAAAEXk/LOHQ2SVen_I/s1600/GoogleHacking4.png (http://3.bp.blogspot.com/-S0mbeF3HuZY/VGgqAffg0iI/AAAAAAAAEXk/LOHQ2SVen_I/s1600/GoogleHacking4.png)
La curiosidad me lleva a probar con datos por defecto, así que hago el primer intento.

Ingreso en usuario 'admin y en la contraseña admin y ¡Eureka! Ingrese al módulo del administrador.


Una vez adentro tenía la posibilidad de realizar cualquier cosa en el sistema, crear, actualizar, eliminar registros. También visualizar los usuarios de ese sitio web, tenían almacenada sus nombres, apellidos, email, usuario y la contraseña que estaba sin cifrar.

Si eso puede hacer un novato en su primer intento utilizando está técnica gracias al descuido del webmaster al utilizar esos datos de autenticación tan fáciles de adivinar, imagínense lo que puede hacer una persona más experimentada.

Nota Importante: La información mostrada en el artículo se expone con fines estrictamente educacionales para ser utilizada como ayuda en la mejora de la seguridad de las aplicaciones web. No nos hacemos responsables del uso indebido de esta información por parte del lector. No se realizó ninguna acción dentro del sistema. Esto fue producto de la casualidad y no se usó para fines malintencionados.


Realizado por Johann Smith.
Twitter: @Joh4nn_ (https://twitter.com/Joh4nn_)

gondar_f
23-11-2014, 17:46
Esto es el pan nuestro de cada día... y no solo entre novatos. Muchos diseñadores que se han metido a hacerlo todo y ahora se dedican a personalizar el diseño y recurrir a un CMS como WordPress, Joomla o Drupal para hacer webs... pues como la mayoría aunque tienen nociones de la parte de programación, tampoco es que sepan mucho, pues no tocan nada y después pasa lo que pasa: el diseño si está bien personalizado, pero cuentas por defecto y tal, pues no se tocan, las BD tampoco han sufrido cambios...