VULNERABILIDADES DE APLICACIONES WEB: URL FUZZING

El nombre en inglés de este ataque es de difícil traducción, pero podría definirse como detección por fuerza bruta de directorios y archivos no referenciados. El nombre alude al ataque, pero en última instancia su éxito final depende de una vulnerabilidad.

 

Suele creerse que si un directorio o archivo no puede ser llamado desde ningún enlace de ninguna página ni está mencionado o documentado en ningún lado, entonces está a salvo de miradas indiscretas y de ser el caso, tampoco puede ser ejecutado. Esto no es así. La "seguridad por oscuridad" (security by obscurity) por sí sola tiene un valor extremadamente escaso.

 

El ataque URL Fuzzing consiste en inyectar en la URL de base de un sitio una gran cantidad de nombres de directorios y archivos y esperar la respuesta para ver si los mismos existen.

 

Está claro entonces que impidiendo el listado de directorios y archivos no logramos ocultar los mismos y que si se quiere lograr que no sean accesibles deberán estar guardados en un directorio inaccesible para el usuario o deberán estar protegido con un nombre de usuario y contraseña.

 

Llevar a cabo este tipo de ataque es extremadamente sencillo aunque obviamente será más fácil detecar un archivo llamado about.html que uno llamado 77345bnmv447885.html. Si no se puede evitar que un archivo sea accesible al menos para algunos usuarios, sería conveniente que, además de ser protegido por una combinación de usuario/contraseña, tenga un nombre de ese tipo. El usuario y contraseña son suscetibles a un ataque de fuerza bruta. Siempre es bueno tener presente el concepto de defensa en profundidad o defensa en capas y ahí la seguridad por oscuridad puede tener algún valor.

 

Finalmente una forma menos drástica de este ataque el la "adivinación" de nombres de directorios y archivos, ingresándose los mismos en la barra de direcciones del navegador en forma manual. Un especialista experimentado e intuitivo podrá tener muy buenos resultados de esa forma.