MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

18.11.08

Configuraciones por defecto: la misma historia de siempre

Luego de regresar del trabajo, me di una vuelta por Internet como para no perder la costumbre :-) y entre página y página, me encontré con una página que posee una vulnerabilidad muy habitual de encontrar: las configuraciones por defecto.


La cuestión es que, de casualidad, me topé con una interfaz de usuario para acceder a un calendario, creado con una aplicación llamada WebCalendar.


Por curiosidad, coloque una “x” en cada campo para ver el resultado. Un error, pero sin más dato. Inmediatamente después y casi por inercia, coloqué “admin” en cada campo y... adivinen qué?


Pero eso no es todo, como es de esperar, al entrar con la cuenta de administración, se tiene acceso a la configuración total de la aplicación y, lo más interesante, es que podemos obtener información de los usuarios que forman parte del calendario y hasta un historial de los eventos creados.



Lamentablemente las configuraciones por defecto responden a una cuestión recurrente que tiene relación directa con la falta de capacitación y concientización en cuanto a las cuestiones de seguridad.


Muchas herramientas de ataque asumen que los objetivos se encuentran con las configuraciones por defecto, como podemos observar en este caso. Además, existen muchos sitios que llevan una base de datos con los usuarios y contraseñas por defecto de dispositivos y aplicaciones.

# pistus

0 comentarios: