Un estudio de caso en la piratería de aplicaciones web

En este estudio de caso, Caleb Sima, un experto en seguridad de aplicaciones muy conocido, se dedicaba a piratear las aplicaciones web de un cliente. Este ejemplo de descubrir un riesgo de seguridad es una buena advertencia para ayudar a proteger su información privada.

La situacion

Sr. Sima fue contratado para llevar a cabo una prueba de penetración de aplicaciones web para evaluar la seguridad de un sitio web financiero conocido. Equipado con nada más que la dirección URL del sitio principal financiera, el Sr. Sima se dispuso a encontrar lo que existían otros sitios para la organización y comenzaron utilizando Google para buscar posibilidades.

Sr. Sima inicialmente publicó un escaneo automatizado en contra de los principales servidores de descubrir cualquier fruta madura. Esta exploración proporciona información sobre la versión del servidor web y otra información básica pero nada que resultó útil sin más investigación. Mientras que el Sr. Sima realizó el análisis, ni el IDS ni el firewall notaron nada de su actividad.

Entonces el señor Sima emitió una solicitud al servidor de la página web inicial, que devolvió algo de información interesante. La aplicación web parecía estar aceptando muchos parámetros, pero como el Sr. Sima continuó navegar por el sitio, se dio cuenta de que los parámetros de la URL se mantuvo igual.

Sr. Sima decidió suprimir todos los parámetros dentro de la URL para ver qué información sería devolver el servidor cuando se les pregunta. El servidor responde con un mensaje de error que describe el tipo de entorno de aplicación.

A continuación, el Sr. Sima realizó una búsqueda en Google en la solicitud que dio lugar a algún tipo de documentación detallada. Sr. Sima encontraron artículos y notas técnicas varias dentro de esta información que le mostró cómo la aplicación funcionó y lo que por defecto puede existir archivos. De hecho, el servidor tenía varios de estos archivos predeterminados.

Sr. Sima usa esta información para probar la aplicación adicional. Rápidamente descubrió direcciones IP internas y qué servicios ofrecía la aplicación. Tan pronto como el Sr. Sima sabía exactamente qué versión se ejecuta el administrador, que quería ver qué más podía encontrar.

Sr. Sima siguió manipulando la dirección URL de la aplicación mediante la adición de personajes dentro de la declaración para controlar la secuencia de comandos personalizada. Esta técnica le permitió capturar todos los archivos de código fuente. Sr. Sima señalar algunos nombres de archivos interesantes, incluyendo VerifyLogin.htm, ApplicationDetail.htm, CreditReport.htm, y ChangePassword.htm.

Entonces el señor Sima trató de conectarse a cada archivo mediante la emisión de una URL con un formato especial en el servidor. El servidor devolvió una Usuario no registrado mensaje para cada solicitud y declaró que la conexión debe hacerse a partir de la intranet.

El resultado

Sr. Sima sabía dónde se encuentran los archivos y pudo oler la conexión y determinar que el ApplicationDetail.htm archivo establece una cadena de galletas. Con poca manipulación de la URL, el Sr. Sima sacó la lotería. Este archivo regresó de información de clientes y tarjetas de crédito cuando se está procesando una nueva aplicación cliente. CreditReport.htm permitió que el Sr. Sima para ver el estado informe de crédito del cliente, información de fraude, disminuido la aplicación de estado, y otra información sensible.

La lección: Los hackers pueden utilizar muchos tipos de información para romper a través de aplicaciones web. Las hazañas individuales en este caso de estudio fueron menores, pero cuando se combinan, que dieron lugar a vulnerabilidades graves.

Caleb Sima era un miembro fundador del equipo X-Force de Internet Security Systems y fue el primer miembro del equipo de pruebas de penetración. Sr. Sima pasó a co-fundar SPI Dynamics (posteriormente adquirida por HP) y convertirse en su director de tecnología, así como director de SPI Labs, el grupo de investigación y desarrollo de aplicaciones, la seguridad dentro de SPI Dynamics.




» » » » Un estudio de caso en la piratería de aplicaciones web