Dédalo

Últimamente he estado leyendo muchas cosas sobre las redes sociales, sus errores de privacidad y configuracion que no solo cometen los usuarios sino los programadores, ahora yo les voy a enseñar está técnica de pen-test en la cual se puede sacar información no autorizada.

¿De que se trata el Bug?

- Bueno el bug basicamente es un error de configuracion del administrador o del usuario que permite ver mas contenido personal de una persona de lo que se debería ver, y por esto se puede conocer mucho de una persona y causar problemas sociales.

¿Cómo se explota?

- Les pongo como ejemplo un último bug que he visto en facebook, por medio de un exploit diseñado en PHP se pueden ver imagenes de personas que no son nisiquiera tus conocidos, este error no es solo del programador por hacer malas consultas sino del usuario por no saber manejar bien su perfil y con esto si yo fuera un secuestrador podria obtener imagenes de la víctima.

¿Que podria pasar si soy vulnerable?

- Pues si tu web es vulnerable a un Secure Information Disclosure lo mejor es hace run backup y cerrar tu web por mantenimiento y corregir el bug ya sea por un error de Full Path Disclosure, Mala programación de las sentencias Sql o cualquier tipo de bug que permita ver un poco mas haya de lo permitido.

¿Recomendaciones?

- Yo les recomiendo que al encontrar un consultor en seguridad informática o un pen-tester se aseguren que este tambien examine esta vulnerabilidad en especial si eres el administrador de ya sea un banco o de una red social o siemplemente de una web que al mostrar mas información de la debida puede ser demandada, y ademas no siempre son errores del lenguaje de programación sino errores que se dan por un mal orden de las sentencias de su base de datos.

fuente:
Escrito por Dr.White para Seguridad Blanca - Blog del Dr.White


Saludos
Dedalo(Dédalo)

__________________



Siganme en twitter

http://twitter.com/seguridadblanca