epelpad

El post que buscas se encuentra eliminado, pero este también te puede interesar

Desarrolladores métodos de hacking










Desarrolladores métodos de hacking






Un error en la Ley de Asistencia del sitio registros de intentos de hackers asequibles a través de su cuadro de búsqueda y el código de re-presenta como opciones de autocompletar





cross site scripting


Healthcare.gov sugiere ataques de piratas informáticos a los usuarios. Fotografía: Healthcare.gov






Una falla en el sitio web del programa de Cuidado de Salud Asequible insignia de presidente Obama ha dejado el sitio y sus usuarios vulnerables a la piratería, el Guardian ha descubierto.

Healthcare.gov ha sido sin saberlo, registrando intentos de hackers a través de su cuadro de búsqueda y volver a presentar el código como opciones completados automáticamente.

El error podría invitar a los hackers para plantar código malicioso, lo que podría infectar los ordenadores de los usuarios, pero mientras que los administradores del sitio han eliminado los errores más obvios, varios defectos graves permanecen y los ataques continuarán siendo sugerida a los usuarios.



Aunque la mayoría de ellas son inofensivas, algunas opciones de guardado presentan la posibilidad de nuevos ataques con un defecto conocido como "cross site scripting", o XSS.

Si los visitantes de Healthcare.gov tipo punto y coma ( ), apóstrofo ( ) o signo menor que () en el cuadro de búsqueda, se les presenta una lista de las búsquedas más populares que comienzan con esas letras.


Esto incluye una variedad de términos utilizados en las técnicas de hacking, como XSS y ataques de inyección SQL, ambos tipos de ataques incluyen la formación de un término de búsqueda, de manera que el objetivo lo interpreta como un comando.


xxs


Algunos ejemplos de los intentos de hacks en autocompletar Healthcare.gov 's. Fotografía: / Healthcare.gov

El hecho de que el sitio está mostrando sus términos de autocompletado de la barra de búsqueda es un indicativo de la cantidad de ataques que ha sido objeto.

A principios de noviembre, Roberta Stempfley, quien está a cargo de la seguridad cibernética del Departamento de Seguridad Nacional, dijo a la Cámara de Representantes del comité de Seguridad Nacional de que se había pasado la agencia "cerca de 16 informes" de los intentos de hacking del sitio web lo suficientemente grave como para garantizan la investigación.

Se desconoce el número de ataques de menor importancia que el sitio ha sido objeto, pero hay al parecer suficiente para que la barra de búsqueda de autocompletado para considerarlos términos de búsqueda comunes.

Ninguno de los ataques que muestra el lugar de trabajo, y como tal, no sería más vergonzoso para el Departamento de Salud y Servicios Humanos para así mostrar públicamente la presión que está bajo.


Pero algunos de los términos de búsqueda malformados insinúan problemas más profundos con el sitio.

Los usuarios que la búsqueda de un término como "admin" ver que se sugiere correctamente, con las letras ya escritas-a aparecer en negrita, y la finalización sugerido que muestra sin negrita. Pero si el mismo usuario busca un término como "<admin>", rompe el formato del sitio.


Las letras ya escritas-no aparecen en absoluto, y las letras sin tipo están en negrita, como se ve en la siguiente imagen:


seguridad cibernética


¿Cómo los caracteres especiales romper el cuadro de búsqueda Healthcare.gov Fotografía: / Healthcare.gov

Examen del código devuelto indica que se pasan los caracteres escritos en el navegador del usuario como javascript, donde el carácter "<" hace que se muestren correctamente.



Peor aún, un código escrito simplemente se ejecuta.

Los usuarios que buscan "<input>" reciben una sugerencia autocompletado que contiene una copia del cuadro de búsqueda:



técnicas de hacking



Cómo <input> rompe el cuadro de búsqueda. Fotografía: / Healthcare.gov

Las sugerencias de autocompletado son una debilidad potencial en el sitio, lo que hace que la incapacidad del equipo del sitio para controlar qué sugerencias entran en la base de datos de un problema más grave que la simple vergüenza.

"Los desarrolladores parecen estar filtrado activamente malas palabras que se muestren en la lista de sugerencias (Pasé algún tiempo tratando de conseguir una en particular a aparecer), pero no están filtrando cadenas asociadas a los ataques", dice Rik Ferguson de Trend Micro .


"¿Significa esto que no previeron un nivel tan alto de interés en hacer agujeros en el sitio web? Eso sería una mala cosa.

"Ellos no parecen haber pasado mucho tiempo en la higienización de entrada (la mejor mitigación contra este tipo de ataques) a juzgar por el mal manejo de errores y las curiosidades que se pueden conseguir, por ejemplo, con la etiqueta de entrada. Este también sería una mala cosa - y ninguno de ellos un buen augurio para la solidez de la página ".

Veinticuatro horas después de las sugerencias de autocompletado se hicieron públicas, la lista fue editada para eliminar algunos de los intentos de ataque más evidentes, entre ellos "; select * from users" y "; muestran tablas;", pero muchos todavía permanecen.





3 comentarios - Desarrolladores métodos de hacking

MatiasZimmermman +9
JA80 +3
jajaja venia a ver ese gif

pd: peluchin es insuperable!

Desarrolladores métodos de hacking
StyleNq +1
XSS cross site scripting
Canelinha
Como puedo hacer parA eliminar una pagina espía http://static.bestsocialfeed.com/home.html?ref_type=ihome&src_type=tg&tv=1.1&t=1.1&u=21756714
Saludos