lunes, 7 de septiembre de 2009

Login en Flash (mal armado), mas inseguro imposible...

Como ya sabrán algunos sitios web poseen sectores restringidos o exclusivo para clientes. Estos por lo general se encuentran protegidos por usuario y contraseña. Pero este no es el problema, sino los métodos y forma de autentificación que se emplean.

Hoy vamos a hablar de los objetos Flash (.SWF) los cuales utilizan un lenguaje llamado Action Script y a veces son utilizados para el control de acceso de estas secciones. El beneficio de utilizar este tipo de objetos es que se logra una interfaz mas amigable y animada que viste mejor nuestro sitio (en ciertos casos). El problema radica en que muchos dejan el usuario y contraseña de acceso dentro del mismo Action Script del archivo Flash y no fuera de este, ya sea en una base de datos o con un simple archivo PHP o ASP. Al dejarlo dentro del mismo objeto Flash, esta información se guarda en texto plano, y por medio de la utilización de un simple descompilador de archivos SWF logramos ver estas credenciales.

Este es el objeto dentro el sitio web, es decir lo que vemos al querer ingresar al sector restringido. En este caso se trata de una empresa Argentina de trasporte :




Esto es el objeto Flash descompilado:




Como pueden ver, tenemos una linda liste de contraseñas. En este caso cada cliente tiene su usuario y contraseña, y al acceder se les ofrece una descarga de un archivo .XLS (Planilla Excel) que posee información actualizada de el ultimo servicio brindado por la empresa y detalles del mismo como pueden ver a continuación:


 


Encontré muchísimos ejemplos de esto (Empresa Argentina con una revista del ámbito medico online):




Y aca el objeto Flash descompilado:


 


Y les dejo uno mas, un Estudio Argentino de diseño, fotografía y publicidad:




Y la data de acceso dentro del objeto Flash:


 


Espero que al momento de armar una seccion restringida en su sitio web tengan esto en cuenta...Ojo! No digo que no usen Flash para esto, sino que si lo van a usar, haganlo como corresponde.


Ximo

No hay comentarios:

Publicar un comentario