Blog

VULNERABILIDADES DE APLICACIONES WEB: MANIPULACIÓN DE PARÁMETROS

28.12.2017 07:26
El ataque de manipulación de parámetros se basa en la alteración de parámetros intercambiados entre el cliente y el servidor para modificar datos de la aplicación como credenciales de usuario y permisos, precio y cantidad de productos y otros. Por lo general, esta información se almacena en cookies, campos ocultos de formularios HTML o cadenas de consulta de URL.
 
Tomemos como ejemplo el siguiente código vulnerable:
 
<!DOCTYPE html>
<html>
<h1>COMPRE SU EXPRIMIDOR POR SÓLO $ 400,00.-</h1>
<body>
 
<form action="atras.php" method="post">
  First name: <input type="text" name="nombre" value=""><br>
  <input type="hidden" name="precio" value="400">
  <input type="submit" value="Enviar">
</form>
 
</body>
</html>
 
Nótese que el campo "hidden", que es el que enviará el precio, no puede ser visto por el usuario. Es un error relativamente común creer que porque no es visto no puede ser alterado, sin embargo el precio puede ser cambiado con total facilidad por el "comprador", sin necesidad de ningún programa especial. El lector podrá comprobarlo con el siguiente código para el archivo "atras.php".
 
<?php
echo '<pre>';
var_dump($_POST);
echo '</pre>';
?>
 
Para prevenir el cambio de precio, el mismo debe ser establecido del lado del servidor.
 

VULNERABILIDADES DE APLICACIONES WEB: ABUSO DE REDIRECTOR DE URL (II)

27.12.2017 10:45
Veremos otra forma de prevenir esta vulnerabilidad.
 
Si no se puede evitar el ingreso de parámetros por parte del usuario se recomienda asignar a esa entrada un valor, en lugar de la URL real o parte de la URL. Del lado del servidor dicho valor se traducirá a la URL a la que se desea redirigir:
 
<html>
<h1>Bienvenido a la Entidad Cualquiera</h1>
<pre>
Usted sera redirigido a nuestra página de ingreso
de datos personales. 
</pre>
 
<form action="no-vulnerable.php" method="get">
   <select name="opcion">
      <option value="Centro">Sucursal Centro</option>
      <option value="Sur">Sucursal Sur</option>
      <option value="Norte">Sucursal Norte</option>
   </select>
   <input type="submit">
</form>
</html>
 
Del lado del servidor tendremos "no-vulnerable.php" con un código como éste:
 
<?php
$opcion = $_GET['opcion'];
if ($opcion == "Centro") {
    header("Location: https://entidadcualquiera.com/sc.html");
} elseif ($opcion == "Sur") {
    header("Location: https://entidadcualquiera.com/ss.html");
} elseif ($opcion == "Norte") {
    header("Location: https://entidadcualquiera.com/sn.html");
} else {
    header("Location: adelante2.php");
}
?>
 
Hemos simplificado el código de arriba para que sea fácilmente comprendido. En la práctica fuerce todos los redireccionamientos para que pasen por una página que notifique a los usuarios que se están desviando de su sitio y solicíteles que hagan clic en un enlace para confirmar que aceptan ser redireccionados.
 
Artículo relacionado:
 

EMPRESAS POCO SERVICIALES III

27.12.2017 09:01
Después de innumerables emails de ida y vuelta con el afán de obtener un resultado positivo por parte de Iberia para que me reconociera el valor de un boleto aéreo (el  importe es más de US$ 2000) que no se llegó a utilizar debido a que la usuaria enfermó, estuvo hospitalizada y en la actualidad no puede realizar viajes de muchas horas, puedo comentar con agrado que obtuve la siguiente respuesta:
 
"Iberia reconoce a favor de usted la devolución, por lo que tendrá que acercarse por nuestras oficinas en Lima para el trámite de reembolso"
 
Soy la hija de la interesada y soy quien pagó el billete y quien en todo momento hizo el reclamo, además de dejarlo en claro en varios emails.
 
Estando la oficina de Iberia en Lima, tuve que realizar un viaje por el día desde la ciudad de Arequipa y al momento de la verificación de datos me dijeron que sólo procedían a hacer la entrega del reembolso a la usuaria del boleto original, quien es mi madre.
 
Una vez más tuve que reclamar, pidiendo el libro de reclamos y exigiendo hablar con el Jefe de Oficina, ante mi insistencia e indignación por nuevos gastos de pasajes aéreos para viajar a Lima y  permisos innecesarios por viaje, aceptaron que les envíe una cuenta bancaria a nombre de mi madre, para que ellos procedan con hacer una transferencia interbancaria. Anteriormente esto también fue solicitado por mi parte, tratando de evitar tener que viajar a Lima, lo que a la postre puedo haberse evitado si la empresa se hubiera mostrado más servicial.
 
Parece que  al enviar la cuenta interbancaria, culmino con este trámite que me sigue demandando gastos - debo aperturar una cuenta bancaria a nombre de mi madre en Arequipa - y sobretodo tiempo de comunicación con uno y otro agente de Iberia.
 
Artículos relacionados:
 

VULNERABILIDADES DE APLICACIONES WEB: ABUSO DE REDIRECTOR DE URL

27.12.2017 08:34
Romperemos con el esquema clásico de la taxonomía de las vulnerabilidades de las aplicaciones web porque, en caso contrario, queda la impresión que hay un pequeño grupo de vulnerabilidades extremadamente importantes y que el resto no existe o no tiene ninguna importancia.
 
El Abuso de redirector de URL (en inglés URL Redirector Abuse) es un ataque que consiste en enviar un enlace que redirigirá a una página de phishing. Como la URL original pertenece a una página en la que el usuario confía, caerá en la trampa con cierta facilidad. Ejemplificamos:
 
<h1>Bienvenido a Entidad Cualquiera</h1>
<pre>
Usted sera redirigido a nuestra página de ingreso
de datos personales. 
</pre>
 
<form action="vulnerable.php" method="get">
   <select name="url">
      <option value="https://entidadcualquiera.com/sc.html">Sucursal Centro</option>
      <option value="https://entidadcualquiera.com/ss.html">Sucursal Sur</option>
      <option value="https://entidadcualquiera.com/sn.html">Sucursal Norte</option>
   </select>
   <input type="submit">
</form>
 
siendo "vulnerable.php":
 
<?php
$redir_url = $_GET['url'];
header("Location: " . $redir_url);
?>
 
El enlace a enviar sería algo así:
 
https://entidadcualquiera.com/vulnerable.php?url=https://phishing.com/colecta-claves.php
 
Para impedir el ataque evite usar redirecciones. De tener que usarlas no permita que la URL sea ingresada por el usuario:
 
<?php
header("Location: https://entidadcualquiera.com/sc.html");
?>
 
En el siguiente artículo sobre el tema veremos otra forma de prevenir esta vulnerabilidad.
 
Artículos relacionados:
 

LA EMPRESA: CÓMO EVITAR EL ESTRÉS DE FIN DE AÑO

26.12.2017 20:01
En estos últimos días del año el cansancio en el ámbito laboral es muy notorio. Se siente el estrés por labores inconclusas que uno desea terminar, ya sea por contratos pendientes que se deben resolver, metas de ventas del mes, cierres de balances, proyectos personales que no se realizaron y también pensando en los propósitos para el siguiente año.
 
Particularmente, en el trabajo que vengo desempeñando no tenemos un programa de labores y este último mes de año quieren  concluir proyectos que en el común de los días tomarían tiempo, lo que causa estrés en más de un colaborador.
 
A este agotamiento laboral debe sumarse también el cansancio  por actividades familiares de fin de año, gastos a realizar, planificación de vacaciones.
 
Se puede evitar las sobrecargas de trabajo y molestias entre los colaboradores si la persona que dirige el equipo planifica el trabajo a mediano plazo, de esta manera puede ver los logros y tomar medidas en cuanto a los pendientes por realizar.
 
Se habla mucho de mejorar el ambiente laboral entre los compañeros de trabajo y de crear una mejor integración entre todos pero sino se planifica ni se tienen metas lo que se logra es cansar y saturar a los empleados con sobrecarga de trabajo y presiones innecesarias, que no son emergencias.  Consideren también, que cuando no se planifica el trabajo, tampoco se pueden medir los gastos.

LA "CRECIENTE PRESENCIA NAVAL RUSA EN AGUAS DEL REINO UNIDO" ES UNA EXAGERACIÓN BRITÁNICA

26.12.2017 17:30
En nuestro anterior artículo sobre el tema decíamos que los británicos aseguran que hay una creciente cantidad de naves rusas navegando a través de aguas de su interés. ¿Eso es verdad? Informábamos que estos días un helicóptero Wildcat despegó para rastrear a otras dos naves de cuyo tipo no habían trascendido detalles. Esas dos naves resultaron ser el buque de investigación oceanográfica Admiral Vladimirsky y el buque de investigación Akademik Aleksandr Karpinski que supo realizar tareas de investifación en la Antártida. ¿Es real la "creciente" presencial naval rusa en aguas próximas al Reino Unido o es una excusa para asustar al contribuyente británico para que esté más dispuesto a solventar los estrafalarios gastos de Defensa del Reino Unido?
 
Recientemente informábamos que el portaaviones HMS Queen Elizabeth que fue aceptado y formalmente puesto en servicio en la Marina Real británica hace apenas unas dos semanas presentaba su primer problema técnico, una filtración a través de los sellos de los ejes de sus hélices. Los mismos dejan pasar 200 litros de agua de mar por hora. También decíamos que el problema es algo totalmente normal y menor. Sin embargo los británicos inmediatamente comenzaron a hablar de que el costo de las reparaciones ascendería a millones de libras esterlinas, que sin embargo serán absorbidas por los constructores del buque. 
 
Eso podría ser un poco de arena arrojada a los ojos del contribuyente británico. Los destructores Type 45 (tipo 45) deberán ser sometidos a modificaciones muy costosas debido a los fallos del diseño de sus sistemas de propulsión. Nadie habló de "gastos de reparación absorbidos por los constructores"..
 
No es que pretendamos defender a los rusos, pero lo del los británicos es demasiado obvio.
 
Artículo relacionado:
 

LOS BRITÁNICOS REPORTAN CRECIENTE PRESENCIA NAVAL RUSA EN AGUAS PRÓXIMAS AL REINO UNIDO

26.12.2017 09:33
Los británicos aseguran que hay una creciente cantidad de naves rusas navegando a través de aguas de su interés, básicamente el Mar del Norte y el Canal de la Mancha.
 
En vísperas de Navidad y en Navidad dos buques y un helicóptero británico fueron desplegados para monitorear diferentes naves rusas. Según los británicos el buque de protección pesquera Clase River HMS Tyne siguió a una nave de recolección de Inteligencia mientras la fragata tipo 23 (Type 23) HMS St Albans fue desplegada para vigilar de cerca a la fragata Admiral Gorshkov. Por su parte un helicóptero Wildcat despegó para rastrear a otras dos naves de cuyo tipo no trascendieron detalles.
 
La clase Almirante Serguéi Gorshkov es una serie de fragatas que pueden realizar ataques a gran distancia y misiones de escolta y antisubmarinas en mares lejanos. Su armamento consiste de un cañón Arsenal de 130 mm; dos CIWS Kashtan; ocho misiles antibuque Oniks 3M55; misiles antiaéreos de alcance medio Shtil I; cuatro tubo de torpedo de 400 mm y cohetes antisubmarinos.
 
Recordemos que en los últimos años el Reino Unido debió recurrir varias veces a aeronaves de la OTAN para dar caza a submarinos rusos que supuestamente se encontraban en sus aguas. En abril del 2015 el submarino de ataque británico HMS Talent sufrió un accidente que afectó al menos a su torre de mando después de "golpear témpanos" mientras perseguía a una o más naves rusas.
 

VULNERABILIDADES DE APLICACIONES WEB: INYECCIÓN HTML

26.12.2017 07:38
Muy emparentada con el Cross-site scripting y muchas veces confundida con el mismo, la inyección HTML solo permite la inyección de ciertas etiquetas HTML. Cuando una aplicación no maneja adecuadamente los datos proporcionados por el usuario O POR EL NAVEGADOR, un atacante puede proporcionar un código HTML válido, normalmente mediante un valor de parámetro e inyectar su propio contenido en la página atacada. El lector puede imaginar las consecuencias de la inyección de una noticia falsa en un portal importante.
 
Esto es código vulnerable:
 
<html>
<body>
Bienvenido <?php echo $_GET["nombre"]; ?>!<br />
</body>
</html>
 
Y ésta es una posible inyección:
 
https://127.0.0.1/inyeccion-HTML/prueba.php?fname=<h1>Mensaje%20inyectado</h1><!--
 
¡CUIDADO! Esto también es código vulnerable, difícil de aprovechar pero vulnerable al fin:
 
<?php
echo $_SERVER['HTTP_USER_AGENT'];
?>
 
Y ésta es una forma de prevenir la inyección:
 
<?php
$agente = $_SERVER['HTTP_USER_AGENT'];
echo strip_tags($agente);
?>
 
aunque sigue permitiendo la inyección de texto sin formato HTML en un lugar dónde difícilmente se lo espera.
 

LA NAVIDAD Y LOS REGALOS CORPORATIVOS

23.12.2017 09:58
En estas fechas de Navidad una manera de estimular a los empleados es ofrecerles regalos corporativos, en Perú es clásico regalar una Caja o Canasta de Navidad, con productos que identifica esta época. Otros optan por vales de consumo.
 
En cualquiera de los dos casos, los empleados se sienten halagados porque estos premios son un reconocimiento por parte de sus empleadores al trabajo realizado.
 
El valor de estas cajas de Navidad o vales, depende del presupuesto con que cuente cada empresa, y se ven desde grandes canastas con productos gourmet o canastas con productos de primera necesidad.
 
El objetivo es claro, valorar el trabajo para fidelizar a los empleados.
 
¿Pero qué pasa cuando estos regalos no son  distribuidos para todos los empleados o cuando hay distintos regalos y el personal lo nota? En vez de ayudar a establecer un mejor vínculo entre un empleado y su empleador, lo que generan es descontento y  malestar entre el personal.
 
Se debe evitar esta selección de regalos entre los trabajadores de una misma empresa, ya que desde los Directores, jefes y empleados deben sentirse que forman parte del mismo equipo, por lo tanto deben ser considerados de la misma manera.
 
Nota del administrador: Hacemos un pequeño cuestionamiento a la última afirmación de la autora del artículo. Si los regalos corporativos son un premio, un reconocimiento al trabajo realizado ¿deben ser iguales para todos?
 

LA EMPRESA: CONSEJOS PARA LOGRAR QUE LAS REUNIONES DE NAVIDAD RESULTEN AGRADABLES

21.12.2017 20:57
Anoche tuvimos nuestra reunión de Navidad, la programamos en nuestras mismas oficinas y después de la jornada de trabajo. En esta ocasión estuvieron presentes los miembros del Directorio, jefes y empleados, optamos por una reunión informal y sin mayor protocolo, tipo cóctel, todos de pie y alrededor de la mesa. La finalidad era hacer un alto al trabajo diario y pasar un momento especial y departir entre todos.
 
Como actividad organizamos  previamente "el amigo secreto" ("amigo invisible"), así que todos llegaron con su regalo, esto también hizo que la reunión fuera ágil y divertida.
 
Debemos tener en cuenta algunas consideraciones que pueden ayudar en este tipo de reuniones:
 
El look que las chicas debemos llevar debe ser casual y no caer en excesos de escotes, transparencias, brillos, ni súper sexi, cuidado con los diseños de estampados, si llevamos piezas muy sobrias podemos ayudarnos con un detalle que levante el look, como zapatos, bolsos y joyas; si bien es una reunión de Navidad, es del trabajo, donde los asistentes son los jefes y compañeros. 
 
La mejor opción son vestidos pero no muy cortos, o unos pantalones de vestir. Sin embargo hay que tener en cuenta que no es lo mismo un almuerzo en un restaurante campestre, una cena de gala o un cóctel en la oficina.
 
Algo muy importante que debemos tener en cuenta los organizadores, es la cantidad de bebidas que compramos para la ocasión, ya que si se trata de barra libre se incentiva el consumo y si el agasajo es en la oficina debemos cuidarnos doblemente de no caer en excesos.
 
Sin duda este tipo de celebraciones entusiasman al personal, reafirman algunos lazos de amistad y mejoran el ambiente laboral.
 
Artículo relacionado:
 
 
 
<< 120 | 121 | 122 | 123 | 124 >>

Etiquetas

  1. portaaviones
  2. Wehrmacht
  3. Luftwaffe
  4. Tempest
  5. blindados
  6. bombarderos
  7. artillería
  8. Brasil
  9. submarinos
  10. RAF
  11. patrulleros
  12. British Army
  13. ejercicios
  14. misiles y cohetes
  15. IMARA
  16. EA
  17. portahelicópteros
  18. clase Queen Elizabeth
  19. F-35
  20. avisos
  21. fragatas
  22. tipo 45
  23. destructores
  24. helicópteros
  25. FAA
  26. Orion P3
  27. COAN
  28. ARA
  29. Royal Navy
  30. Malvinas