La herramienta Havij es una de las más populares en el mundo del pentesting para hacer ataques de SQL Injeciton. Quizá no es tan versátil como SQLMap, pero tiene tiene un interfaz gráfico que la hace muy fácil de utilizar, y por eso es utilizada de forma profesional en muchas auditorias.
Una de las opciones que trae la herramienta es la capacidad de exportar los resultados de un proyecto de ethical hacking a un documento en formato HMTL, para que pueda ser integrado en los sistemas de información que se consideren convenientes.
Mi amigo rootkit, amante del hacking con buscadores sobre todo, se dedicó a buscarlos en Google, y es sorprendente ver cómo hay muchos indexados para que cualquiera ver los resultados obtenidos de un proceso de auditoria de SQL Injection.
Figura 3: Resultados de informes de auditoría con Havij indexados en Google |
Como se puede ver, una vez que se accede al resultado del ataque podrían aparecer hasta información sensible de la base de datos de la víctima, como en este caso en el que aparecen las credenciales del usuario administrador de un sitio.
Figura 4: Reporte de havij indexado en Google con credenciales robadas |
Algunos de ellos muy recientes, y con gran cantidad de información de sitios comprometidos, como este informe con una base de datos de cientos de usuarios con sus cuentas expuestas. Pon un segundo factor de autenticación en todas tus credenciales para evitar que te afecten estas cosas si alguna vez te da por repetir contraseña....
Figura 5: Passwords en texto claro...sniff. |
No sé muy bien a quién se le ocurre poner esto publicado en una web, pero lo cierto es que están, y se pueden encontrar cosas curiosas. Si usas sistemas de reporte en HTML con publicación en sitios web, ten cuidado con su indexación, que ya vimos cosas similares con CloudShark y credenciales de sitios sensibles para muchas organizaciones.
Saludos Malignos!
Es posible por ejemplo generar un reporte y que este de forma automática se envíe secretamente a una página x para su Publicación? O solo hay alguien que se dedica a subirlos?
ResponderEliminar