Ya he hablado muchas veces de cómo los ficheros robots.txt pueden ser un verdadero problema para los sitios web que no han contado con ellos como arma del enemigo, debido a que pueden convertirse en una fuente de información para un posible atacante. El hacking driven by robots.txt no es más que ir a por los documentos que un sitio web no quiere que encuentres a través del buscador pero que manualmente puedes localizar, pero es que esto puede ser mucho peor si combinas algunos trucos en serie.

Después de jugar con las opciones de indexing y caching en sitios como Facebook y ver sus problemas de privacidad o como en el sitio web de WhatsApp, he pasado un par de días dorkeando como un ninja en grandes sitios de Internet, y me ha llevado al convencimiento de que esto es insostenible incluso para la propia Google. Aquí os dejo unos trucos combinando... Continuar leyendo

Supongo que todos estáis acostumbrados al sistema de utilización de nombres de archivo con extensiones. Esa forma tan curiosa de identificar el contenido de un determinado fichero por medio de una cadena de caracteres detrás del punto que supuestamente informa al usuario de lo que se va a encontrar dentro.

Las extensiones y el malware

Uno de los trucos que más veces ha utilizado la industria del malware utilizado para el mundo del e-crime y el fraude online ha sido la de usar programas ejecutables para sistemas Microsoft Windows y sistemas Mac OS X que utilizan dobles extensiones. Algo como tu_documento.pdf.scr y que permite sacar provecho de la asociación por defecto de programas o comportamientos a extensiones de ficheros.