Tag Archive for foca

Web Hacking : Una línea para manejarlos a todos

¿Podría darte una línea de código acceso a un sitio Web completo? ¿Qué información obtendría un atacante si consiguiera llegar al nivel más bajo de tu página Web? es decir, a tu BBDD o SSOO. Dependiendo del objetivo de la misma podría encontrar seguramente información sobre la identidad de los usuarios, transacciones bancarias, compras online, usuarios, contraseñas y mucho más.

¿Cuánto vale tu información? Debemos de establecer unos controles de seguridad mínimos a nuestro sitio Web, llevar a cabo una serie de auditorías de seguridad que garanticen el buen funcionamiento de la misma. No sólo tener en regla la política de cookies y poco más, sino os puede ocurrir como la Web con la que me encontré hace unas semanas a la hora de preparar una charla. Antes de nada os muestro un disclaimer.


Aviso Legal y Descargo de Responsabilidad

  1. El objetivo de lo mostrado a continuación tiene fines educativos para aprender a mejorar la seguridad de nuestros sitios Web.
  2. No nos hacemos responsables del mal uso que se le pueda dar a las herramientas mostradas.
  3. Toda la auditoría Web mostrada a continuación se ha llevado a cabo con permisos de sus administradores según lo acordado en documento legal.

Vamos a llevar a cabo la auditoría de un sitio Web siguiente la metodología OWASP, concretamente seguiremos la OWASP Testing Guide V4. Los diferentes puntos que abarca dicha metodología los podéis ver detalladamente en el enlace anterior. A continuación nombramos los aspectos generales a tratar.

Read more

Foca y metadatos: extracción con Foca de metadatos de un PDF

Foca y metadatos!!! Hola amigos, voy a compartir con vosotros lo que me pasó ayer jugando con foca y metadatos. Ayer mientras “trasteaba” por Internet, ví la noticia de que Rafa Nadal no iría a los juegos olímpicos por culpa de una lesión en la rodilla. En el enlace de la noticia, vista en Facebook, observé un enlace a un PDF de la Web oficial del tenista donde se publicaba la noticia. Inmediatamente se me vino a la cabeza si el creador del documento habría tenido el cuidado de haber limpiado los metadatos del documento antes de subirlo.

Ni siquiera tuve que echar mano de mi Foca Pro, usé la versión online para analizar el documento PDF que previamente me había descargado desde la Web oficial, y cuál fue mi sorpresa (en realidad no fue tal) cuando ví aparecer jugosos metadatos en la Foca Online.

PDF Rafael Nadal - Exposición de metadatos

Fechas de creación / modificación, software usados y nombre de usuario. Sólo faltaba un poco de Google para averiguar quién es el usuario que aparece en los metadatos.

Desde Hacking Ético dot com, aconsejamos que se limpien los metadatos de los archivos antes de subirlos a sitios públicos, y evitar así publicar información que aunque no lo parezca, pueda ser sensible y aprovechable por posibles atacantes.

Buen fin de semana!

Tan simple, tan importante.

Llevaba varios días “trasteando” con los metadatos y la FOCA, y es increible como cada día me sorprendo más de la información que se puede extraer de archivos, como PDFs publicados en la red. Lo último, y que ya se parece cada vez más a una entrega más de “Atrápalo como puedas”, es que en una nota de prensa publicada por Anonymous en PDF, aparece el nombre del autor. Impresionante.

Esta noticia, que la he leído en el blog de Chema Alonso, me ha sorprendido mucho, ya que, soy consciente de que el término metadatos, para cualquier usuario de andar por casa, le resulte desconocido, incluso a empresarios y/o responsables de informática, que deberían de tenerlo en cuenta a la hora de que se publiquen archivos en la red que pueda contener información sensible, pero lo que no me imaginaba que un grupo de hacktivistas, como Anonymous, haya cometido un error como éste.

Conclusión, esto nos demuestra una vez más, la importancia de limpiar nuestros archivos antes de publicarlos. Se tarda muy poco en hacerlo, y nos puede evitar algún que otro dolor de cabeza.

Metasaludos!