Atacar la Funcionalidad de Recordarme en una Aplicación Web
Las aplicaciones web frecuentemente implementan funciones de “Recordarme” como una conveniencia para el usuario. De esta manera los usuarios no necesitan ingresar nuevamente su nombre de usuario y contraseña cada vez utilicen la aplicación en una computadora específica. Estas funciones son frecuentemente inseguras por diseño y dejan expuesto al usuario a un ataque ya sea local o por usuarios en otras computadoras.
Para la siguiente demostración se utiliza el WordPress incluida en la máquina virtual OWASP Broken Web Applications Project. Se ingresa un nombre de usuario y contraseña válidos, activando la opción “Remember Me”.
Algunas funciones de “Recordarme” se implementan utilizando una cookie persistente. Cuando la cookie es enviada, la aplicación confía en esta para autenticar al usuario, y crea una sesión de aplicación para el usuario, evitando el login o registro de ingreso. Utilizar Cookie Manager+ para visualizar el contenido de las cookies creadas.
En este escenario la función “Recordarme” define dos cookies, la primera contiene el nombre de usuario y la segunda cookie contiene algo similar a un hash MD5. Es factible utilizar entonces servicios en línea, los cuales permiten averiguar el texto plano detrás de diversos tipos de hashs y cifrados.
Aunque la información almacenada para identificar y recordar a los usuarios esté cifrada, es factible averiguar o adivinar esta información. Adicionalmente a esto la información podría ser vulnerable a ser capturada a través de una falla como XSS - Cross-Site Scripting, o mediante un acceso local a la computadora del usuario.
Fuentes:
https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project
https://addons.mozilla.org/en-us/firefox/addon/cookies-manager-plus/
http://www.hashkiller.co.uk/md5-decrypter.aspx
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/