Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

martes, 18 de noviembre de 2008

Configuraciones por defecto: la misma historia de siempre

Luego de regresar del trabajo, me di una vuelta por Internet como para no perder la costumbre :-) y entre página y página, me encontré con una página que posee una vulnerabilidad muy habitual de encontrar: las configuraciones por defecto.


La cuestión es que, de casualidad, me topé con una interfaz de usuario para acceder a un calendario, creado con una aplicación llamada WebCalendar.


Por curiosidad, coloque una “x” en cada campo para ver el resultado. Un error, pero sin más dato. Inmediatamente después y casi por inercia, coloqué “admin” en cada campo y... adivinen qué?


Pero eso no es todo, como es de esperar, al entrar con la cuenta de administración, se tiene acceso a la configuración total de la aplicación y, lo más interesante, es que podemos obtener información de los usuarios que forman parte del calendario y hasta un historial de los eventos creados.



Lamentablemente las configuraciones por defecto responden a una cuestión recurrente que tiene relación directa con la falta de capacitación y concientización en cuanto a las cuestiones de seguridad.


Muchas herramientas de ataque asumen que los objetivos se encuentran con las configuraciones por defecto, como podemos observar en este caso. Además, existen muchos sitios que llevan una base de datos con los usuarios y contraseñas por defecto de dispositivos y aplicaciones.

# pistus

Ver más