Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
20 de Noviembre, 2013    General

No necesitas subir el código fuente para que rule el Flash

En las auditorías de seguridad, cuando te topas con una web escrita en Adobe Flash, tienes que conseguir todos los ficheros .SWF. Al igual que haces con el código fuente de las páginas HTML servidas por el sitio web, tener un archivos .SWF significa que también tienes que el código fuente si realizas un proceso de decompilación para obtener su código fuente. Para ello se pueden usar múltiples herramientas, y hasta decompiladores .SWF o .NET online - también decompilan Applets Java -.

Esto está bien, pero si puedes conseguir el archivo .FLA original, mejor que mejor, solo por si hay comentarios o recursos que no aparecen durante el proceso de decompilación. Esto, en una web que tenga un proceso estricto de seguridad, no debería pasar nunca, y los ficheros .FLA no deberían estar nunca al alcance de todo el mundo.

Pero como os podéis imaginar, esto no siempre es así.

Hace tiempo, cuando publiqué el artículo que hablaba de analizar los ficheros .DS_Store subidos a los sitios web para descubrir otros ficheros escondidos en el mismo servidor, ya me pasó que encontré que en una carpeta estaban el fichero .SWF y el código fuente en fichero .FLA.

Figura 1: Al analizar el fichero .DS_Store aparecían principal.swf y principal.fla

Los ficheros .FLA no están protegidos en el servidor web por defecto, así que si lo encuentras, salvo que haya alguna regla añadida manualmente en el WAF - sería una buena recomendación añadirlo directamente a las reglas de fortificación de Mod_Security para evitar estas fugas - vas a poder disfrutar de toda la información.

Conocido esto, decidí probar el otro día que andaba con algo de tiempo, a buscar ficheros .SWF e intentar localizar los ficheros .FLA de los ficheros .SWF que me fuera escupiendo Google haciendo algo de hacking con buscadores, en plan "lotería random". Lo que esperaba es que no fueran muchos, y que cuando solicitará el fichero .FLA se obtuviera algún mensaje de error como este.

Figura 2: El fichero .fla no está en el servidor web

En algunos casos me topé con la grata sorpresa de que el servidor tenía el mod_negotiation activado, así que cuando pedía el fichero .FLA me proporcionaba la lista de ficheros con el .SWF de nuevo. Ya sabéis que si está activado este módulo se pueden listar casi todos los ficheros del servidor web.

Figura 3: Buscando un .fla acabé topando con un mod_negotiation activado

Pero lo más curioso fue que sobre más o menos unos 50 sitios que probé, acabé con 8 ficheros de código fuente .FLA. Como podéis suponer, primero empecé probando en sitios al azar, y luego fui dirigiendo el tiro a dominios que deberían tener una mayor seguridad - como cuando se prueban los análisis de metadatos con FOCA en sitios como la Missile Defense Agency, para probar años después que siguen teniendo fugas que pueden provocar ataques "desde el pasado" -. Y no hizo falta buscar mucho, enseguida apareció algún fichero .FLA en sitios .mil.

Figura 4: Un fichero .FLA en un dominio .mil

No había nada especial en ese código fuente. Tan solo el código para reproducir unos vídeos. Nada preocupante desde el punto de vista de seguridad, pero me extrañó que no tuvieran una medida global de protección contra este tipo de fugas de datos, con lo serios que se han puesto con esto.

En cualquier caso, nosotros con Faast buscamos y detectamos esto, y si tienes que hacer una auditoría, antes de buscar hacer probar las 20 técnicas para listar ficheros de un servidor web, prueba a pedir el código fuente, no vaya a ser que una vez más, los árboles no te dejen ver el bosque.

Fuente http://www.elladodelmal.com
de Chema Alonso
Palabras claves , ,
publicado por alonsoclaudio a las 12:17 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Noviembre 2021 Ver mes siguiente
DOLUMAMIJUVISA
123456
78910111213
14151617181920
21222324252627
282930
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» Cómo espiar WhatsApp
587 Comentarios: perez turner, thoms mercy, Andrew mata, [...] ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
» ¿Cómo se escribe? ¿Qué significa? Instalate un diccionario en el teléfono
1 Comentario: bellena morgan
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad