jueves, enero 12, 2012

Los "Juicy Files" de un sitio web y la FOCA

Como muchos de los que nos dedicamos a esto de romper cosas, la búsqueda de bugs en las auditorías de seguridad web se hace casi de manera automática, como si fuéramos perros perdigueros en busca de un fichero que está gritando que no está bien configurado. Además de esos, hay otros que tienen "cara de sospechosos", por las rutas en las que se encuentran o la extensión que tienen. Así, los .bak, los .old, o cualquier otro con una extensión "raruna" merecen un análisis más en profundidad.

Todos esos ficheros suelen contener datos jugosos, y en la FOCA hemos creado unas listas para clasificarlos cuando sean encontrados, son los "Juicy Files". Es configurable cuándo debe ser tomado un fichero de este tipo, y dependerá de cada proyecto, pero por defecto lo será cualquier fichero con una extensión que no sea de las comunes.

Figura 1: Juicy Files por extensión

O que se encuentre en una de las rutas que nos interesan habitualmente.

Figura 2: Juicy Files por path

Por supuesto, para encontrar esas rutas, hasta el momento nos aprovechábamos de Google Crawling y Bing Crawling, pero después añadimos el parseo de robots.txt - que todos tenéis en la versión 3 de la FOCA - y en la versión interna hemos añadido el parseo de ficheros .listing y directory listings así como la búsqueda de puertos inusuales, usando el "truco de la barra" con site:/dominio.com:*, algo que deja también jugosos resultados.

Figura 3: Puertos distintos de 80 se clasifican también como juicy files

Saludos Malignos!

2 comentarios:

Anónimo dijo...

Por que nos pones los dientes largos con versiones internas???

Jonathan Novel dijo...

Hay mi Foca *.*
Yo Love Foca!

Eleven Paths Blog

Seguridad Apple

Entradas populares