lunes, 23 de abril de 2018

Fuga de información en el código HTML de paginas web

Fuga de información en el código HTML de paginas web

 


Cuando se realizan pruebas de seguridad y penetración a paginas web o aplicaciones web, lo primero que se recomiendo hacer es analizar el codigo HTML. Esto se debe a que podemos encontrar información muy interesante (jugosa) que nos puede ayudar a encontrar fallos, comprender el como esta desarrollada la aplicacion o pagina web, sin embargo también tenemos algo muy curisos, los comentarios de los desarrolladores que pueden dejar olvidados.

Cada que tengamos una aplicacion web, o pagina web, de las primeras cosas que debemos hacer es inspeccionar el codigo HTML, pero ¿Para que?

Cuando inspeccionamos el código HTML podemos encontrar información como:
  • Archivos
  • Comentarios del desarrollador
  • URL interesantes
Por ejemplo, si analizamos el código HTML de una pagina web, linea por linea (puede ser tardado o aburrido) nos encontramos con lo siguiente:


Tenemos un pequeño código PHP, cuando una aplicacion web necesita conectarse con una base de datos MySQL requiere de un conjunto de parámetros para poder establecer la conexion como lo son el nombre del host, el nombre de la base de datos el usuario y contraseña. En el caso de nuestro código, tenemos un archivo que realiza una llamada
mysql_connect / mysql_pconnect que incluye las credenciales de conexión MySQL.

Lo que puede ser interesante, es el archivo "bokajnr.inc", lo que podemos hacer es lo siguiente www.sitio.com/bokajnr.inc y veamos que pasa.




Podemos descargalo o abrirlo, en mi caso lo abrí con Sublime Text un editor de textos muy bueno (lo recomiendo).



Pero que sorpresa... no?


Nivel 1 de HackThisSite
Analizar el código HTML, es un punto clave e importante al momento de realizar pruebas de seguridad o penetracion, puede que encontremos algo que un desarrollador dejara olvidado como lo pueden ser notas al momento de desarrollar la pagina o aplicacion web, direcciones a archivos, incluso podemos dar con el Index.



Sitio vulnerable: indoushka
Post: Drok3r
Share:

jueves, 12 de abril de 2018

WebAuthn | Nuevo estándar web de autenticación


Un Internet sin PASSW*RD



Foros, blogs, redes sociales, aplicaciones, tiendas y un sinfín más de aplicaciones y sistemas en Internet, manejan grandes cantidades de información, la cual hasta cierto punto debe mantenerse y solo accesible para los usuarios quienes tienen privilegio de acceso a esta información o son dueños de estos.


Los sistemas y la información son protegidos por un método de autenticación estándar, donde solo se necesitan las credenciales de acceso, usuario y contraseña, un método a día de hoy muy desgastado y castigado por malas prácticas,  y técnicas que permiten comprometer estas credenciales. Malas prácticas como contraseñas por defecto, o muy fáciles de adivinar por otro lado la gran cantidad de técnicas y su sofisticación al paso del tiempo, nos han permitido comprometer este método en más de una ocasión.


El avance tecnológico ha demostrado que no solo usuarios y contraseñas son necesarios para lograr una autenticación, a día de hoy los dispositivos móviles y los tantos dispositivos nos permiten autenticarnos por otros medios, como lo son: reconocimiento facial, huellas dactilares, voz, etc.


webauthn
El reconocimiento facial y las huellas dactilares son dos métodos que la FIDO y el consorcio de World Wide Web los han tomado en cuenta para el nuevo estándar de autenticación web denominado WebAuthn, desarrollado con la colaboración de los principales navegadores Web del mercado como lo son Google Chrome, Mozilla Firefox, Microsoft Edge y Opera.



WebAuthn define una API abierta que podrán integrar directamente las páginas y navegadores web, con el objetivo de modernizar de una vez por todas la autenticación en cualquier sitio web implementando medidas como las mencionadas, u otras más especializadas, como dispositivos específicos, léase USB, móviles o wearables, siempre con un identificador externo que sirva de medio de comprobación” by. Muyseguridad.net 


Con las nuevas especificaciones FIDO2 y el soporte de los navegadores web líderes que anunciamos hoy, estamos dando un gran paso adelante para hacer que la autenticación FIDO sea ubicua en todas las plataformas y dispositivos“, comenta Brett McDowell, director ejecutivo de la Alianza FIDO. “Aunque hay muchos problemas de seguridad y no podemos solucionarlos todos, confiar en las contraseñas es uno de los eslabones más débiles. WebAuthn cambiará la forma en que la gente accede a la web“, aclara.

Fuente:www.muyseguridad.net
Share:

BlackBooks

BlackBooks
Doxing - UserName

Comparte tus Papers!!

RedBird en Facebook

RedBird en Twitter

Contenido