Blog técnico Entelgy Innotec Security
images/banners/security-garage-banner-04_300.png

En uno de los test de intrusión que se realizaban para un cliente se encontró que usaban la herramienta YOURLS en uno de sus dominios. Debido a esto, decidimos revisar el código publicado en GitHub para ver si encontrábamos alguna vulnerabilidad y así,  poder utilizarla para acceder a la organización, y... ¡efectivamente!... algo se escondía tras sus métodos de autenticación que hizo que encontrásemos una vulnerabilidad en la API, lo cual nos permitía realizar acciones en YOURLS como ver estadísticas de uso o crear enlaces para, por ejemplo, iniciar una campaña de phishing.

Compartir

¿Alguna vez has auditado una web con WordPress? Si la respuesta es que sí, seguramente te hayas sentido como nosotros. Al auditar una web construida con WordPress, no hay demasiado donde buscar, más aún si está actualizado a la última versión y, por supuesto, no tienes usuarios. Es un poco frustrante ver como no puedes hacer demasiado para conseguir acceso.

Compartir

S5 Box

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información consultando nuestra Política de Cookies.