Hack x Crack - Comunidad de Seguridad informática

Seguridad Informatica => Hacking => Hacking web => Mensaje iniciado por: michbukana en Septiembre 11, 2013, 07:37:31 pm

Título: Acceso a una cuenta de usuario a través de la url sin previo login
Publicado por: michbukana en Septiembre 11, 2013, 07:37:31 pm
Esta es una práctica que al parecer se está utilizando cada vez más, ya son varias webs que me encuentro con esta forma de acceder a la cuenta de un usuario sin previa autenticación y que encima no caducan las urls pasado cierto tiempo.
A continuación voy a explicar algunas de las ventajas para un atacante e inconvenientes para los desarrolladores en cuanto al uso de este método.

Referer
El Referer sería un vector para obtener estas jugosas urls algo simple de lo que se podría sacar el acceso a la cuenta de la víctima es como si en el Referer se transmitiera las credenciales. Un ejemplo sería realizando una aplicación que recoja los Referer y pidiendo a la víctima que acceda a la web donde se encuentra esta aplicación donde se obtendrán estas urls que transmiten el key para entrar como usuario logead.

Ficheros del historial de los navegadores
Otro causa de por qué no utilizar este método y otro truco de como robar estas urls como todas las otras por las que el usuario navega es el fichero donde se guarda el historial  de navegación por ejemplo en Google Chrome con Windows 8 se haya en un fichero que se encuentra en C:\Users\RootedLab\AppData\Local\Google\Chrome\User Data\Default\History Index 2013-09

(http://lh3.ggpht.com/-l12JKQ6pk2c/UjAQvjtAKaI/AAAAAAAAAGY/fMfj-bwLaMY/clip_image001_thumb%25255B2%25255D.png?imgmax=800)
Imagen 1: Historial de Chrome

Google Dork
Un ejemplo es el caso de www.humblebundle.com se dieron cuenta un poco tarde sin poder evitar la indexación de sus urls ya que como se puede ver en la segunda imagen se encuentra configurado el robots.txt para deshabilitar que se indexe estas urls pero como se ve en la primera imagen se dieron cuenta algo tarde ya que hay indexadas bastantes de ellas con acceso a la cuenta aunque ya reclamadas, por ello esta sería otra truco a tener en cuenta

(http://lh6.ggpht.com/-kmKKyxVRD1M/UjAQwcx0jYI/AAAAAAAAAGo/YmcbMyvrcbQ/clip_image003_thumb%25255B2%25255D.jpg?imgmax=800)
Imagen 2: Urls de acceso indexadas
(http://lh3.ggpht.com/-5eGkNBq8KO0/UjAQxDai_yI/AAAAAAAAAG8/X9VrL_CWKAM/clip_image005_thumb%25255B2%25255D.jpg?imgmax=800)
Imagen 3: Robots.txt

Fuerza Bruta
Casos de webs como https://www.humblebundle.com/downloads?key=4vMtRuTHm53R que permiten el acceso a la cuenta a través de la url tienen una clave compuesta de 12 caracteres aleatorios alfanuméricos en minúscula (27), mayúscula(26) y numérica(10) por ello cabe un rango de posibles combinaciones de 63^12 algo inviable por tiempo y recursos además habría que contar con la posibilidad de realizar varias denegaciones de servicio, pero no por ello descartable para otras webs.

(http://lh6.ggpht.com/-T8rTpjr3weU/UjAQyOpBjYI/AAAAAAAAAHI/n8p9o4TWXwo/clip_image007_thumb%25255B2%25255D.jpg?imgmax=800)
Imagen 4: Cuenta humble

Otros detalles de por que no usar este método
Antes se solía mandar al correo un email las webs donde uno se acababa de registrar con el usuario y contraseña una práctica que ya no se suele usar por el hecho de que una vez comprometido el correo un atacante podía ver esas credenciales y ahora con el método del acceso en la url existe otro vector por el que el atacante acceda a X web como usuario logeado teniendo de este modo la misma importancia que enviar las credenciales al correo, aunque no le será tan fácil al atacante que se haya colado en su correo filtrar los emails como se hacía antes con los que contenían credenciales filtrando por “password, contraseña, usuario, login”, ya que no hay un patrón que filtre las urls que tenga la clave en la variable… tal vez por key? Para el caso de www.humblebundle.com si hubiese servido, pero cada web tendrá su propio nombre de variable

(http://lh3.ggpht.com/-FYBMbUJM2nw/UjAQzEpubSI/AAAAAAAAAHY/zVFU_Q7tOLY/clip_image009_thumb%25255B3%25255D.jpg?imgmax=800)
Imagen 5: Bandeja de entrada gmail

Hay que tener en cuenta que cualquier usuario si guarda una url como esta es más susceptible a guardarla sin la seguridad y protección que podría emplear para guardar unas credenciales, por ello resulta más fácil robar una url con el acceso que una combinación de usuario y contraseña


Fuente: http://code-disaster.blogspot.com/
Título: Re:Acceso a una cuenta de usuario a través de la url sin previo login
Publicado por: Krakakanok en Septiembre 11, 2013, 07:57:05 pm
Muy buena info y muy buena explicacion, todos los desarrolladores que lean esto ponganse manos a la obra si estan implementando algo de la forma que explica michbukana, tenemos que pensar como atacantes para securizar las cosas RECORDAD.

Saludos.

PD: creo haber leido algo de blogger parecido, concretamente la previsualización de post si no recuerdo mal.
Título: Re:Acceso a una cuenta de usuario a través de la url sin previo login
Publicado por: DiouS en Septiembre 11, 2013, 09:47:40 pm
Muy buena info ! yo tambien la habia leido , pero no encontre muchos casos :S , salu2
Título: Re:Acceso a una cuenta de usuario a través de la url sin previo login
Publicado por: michbukana en Septiembre 12, 2013, 10:38:13 am
Gracias por los comentarios.  ;)
Título: Re:Acceso a una cuenta de usuario a través de la url sin previo login
Publicado por: Prow en Septiembre 12, 2013, 03:42:43 pm
Buena info, conosco algún que otro sitio que utiliza este método de seguridad oscura. Realmente es muy mediocre pero sucede.

Saludos