Como ya sabrán algunos sitios web poseen sectores restringidos o exclusivo para clientes. Estos por lo general se encuentran protegidos por usuario y contraseña. Pero este no es el problema, sino los métodos y forma de autentificación que se emplean.
Hoy vamos a hablar de los objetos Flash (.SWF) los cuales utilizan un lenguaje llamado Action Script y a veces son utilizados para el control de acceso de estas secciones. El beneficio de utilizar este tipo de objetos es que se logra una interfaz mas amigable y animada que viste mejor nuestro sitio (en ciertos casos). El problema radica en que muchos dejan el usuario y contraseña de acceso dentro del mismo Action Script del archivo Flash y no fuera de este, ya sea en una base de datos o con un simple archivo PHP o ASP. Al dejarlo dentro del mismo objeto Flash, esta información se guarda en texto plano, y por medio de la utilización de un simple descompilador de archivos SWF logramos ver estas credenciales.
Este es el objeto dentro el sitio web, es decir lo que vemos al querer ingresar al sector restringido. En este caso se trata de una empresa Argentina de trasporte :
Esto es el objeto Flash descompilado:
Como pueden ver, tenemos una linda liste de contraseñas. En este caso cada cliente tiene su usuario y contraseña, y al acceder se les ofrece una descarga de un archivo .XLS (Planilla Excel) que posee información actualizada de el ultimo servicio brindado por la empresa y detalles del mismo como pueden ver a continuación:
Encontré muchísimos ejemplos de esto (Empresa Argentina con una revista del ámbito medico online):
Y aca el objeto Flash descompilado:
Y les dejo uno mas, un Estudio Argentino de diseño, fotografía y publicidad:
Y la data de acceso dentro del objeto Flash:
Espero que al momento de armar una seccion restringida en su sitio web tengan esto en cuenta...Ojo! No digo que no usen Flash para esto, sino que si lo van a usar, haganlo como corresponde.
Ximo
Este blog tiene como motivo mostrar las vulnerabilidades y problemas que poseen sitios y servidores Argentinos en materia de seguridad informática, ya sean comerciales, oficiales, o gubernamentales. Los mismos son informados a los responsables de cada uno de estos previo al post en el blog. El fin, que la información personal de cada Argentino sea tratada como tal y sea resguardad como corresponde. El autor de las publicaciones no se hace responsable por el mal uso de la información brindada.
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario