Desde el fabuloso blog de WonkaPistas se revela el estudio del CIS con la estimación de voto antes de que este sea emitido oficialmente.Para realizar este hallazgo el autor predijo una URL en base a un patrón común. En la web del CIS la información se localiza mediante un identificador numérico consecutivo. De esta forma la primera noticia sería del tipo "Documentacion_1.htm", la segunda "Documentacion_2.htm" y así sucesivamente. Estos archivos una vez comprendida la lógica de la aplicación son sencillamente deducibles
De esta forma, los encargados de gestionar el contenido en el CIS, decidieron almacenar la información para publicarla posteriormente. Lo que significa que pese a que existía un archivo "Documentacion_2782.htm", no había ningún enlace a esta página que hiciera posible su acceso si no es por la propia deducción comentada anteriormente.
Bien, y ahora empieza la polémica ya que la directora del CIS, Belén Barreiro, atribuye esta acción a "un asalto informático" tal y como se puede leer en Libertad Digital. Donde se burlan por la descripción de este hallazgo, al igual que ocurre en otros blogs de gran relevancia.
El Web Application Security Consortium define en su clasificación de riesgos el "Predictable Resource Location" como la técnica de ataque que consiste en descubrir contenido o funcionalidades ocultas. ¿Os encaja en lo ocurrido?
Parece que para todo aquel que no se dedica a la seguridad, una vulnerabilidad por ser fácilmente explotable elimina su existencia e incluso su criticidad en vez de aumentarla. De esta forma ocurre que "como es sencillo deducir que el número siguiente a 1 es 2 y lo puede hacer cualquiera", esto no constituye un fallo de seguridad. Error y muy grave. El riesgo es mayor cuanto más alta sea su facilidad de explotación y mayor su impacto. Otro tema completamente distinto, y que no vamos a valorar, es si este acceso forma parte de un acto delictivo o no.
Para finalizar y para todo aquel que tenga una duda, un ejemplo de este mismo problema en otra parte de una web.
Los archivos de estadísticas almacenados en un directorio deducible como sería www.sitio.com/estadisticas/, estas no están disponibles mediante ningún enlace, pero es fácil probar su existencia. Lo mismo ocurriría para una sección de los administradores del sitio bajo la ruta /admin, donde se almacena contenido temporal.
Es tan común este tipo de vulnerabilidades que incluso existen herramientas para detectarlas de forma automática, entre ellas Wikto, Webroot o Webslayer o los geniales productos nacionales DirB y Pipper.
1 comments :
¿Futuro hackeo memorable? xD.
Hechad un vistazo a la pagina de busqueda del CIS (http://www.cis.es/cis/opencms/ES/busqueda.jsp), y poned una comilla simple en el campo buscador. Parecera que no se encuentra nada, peeeroo, mirar de nuevo el campo buscador... todo el codigo fuente de ese campo esta disponible en el mismo. Me da a mi que hay un alto riesgo de SQL Injection xDD
Salu2!!
Publicar un comentario