Atacar la Funcionalidad de Recordarme en una Aplicación Web

  • Posted on: 17 April 2015
  • By: ReYDeS

Las aplicaciones web frecuentemente implementan funciones de “Recordarme” como una conveniencia para el usuario. De esta manera los usuarios no necesitan ingresar nuevamente su nombre de usuario y contraseña cada vez utilicen la aplicación en una computadora específica. Estas funciones son frecuentemente inseguras por diseño y dejan expuesto al usuario a un ataque ya sea local o por usuarios en otras computadoras.

Para la siguiente demostración se utiliza el WordPress incluida en la máquina virtual OWASP Broken Web Applications Project. Se ingresa un nombre de usuario y contraseña válidos, activando la opción “Remember Me”.

Algunas funciones de “Recordarme” se implementan utilizando una cookie persistente. Cuando la cookie es enviada, la aplicación confía en esta para autenticar al usuario, y crea una sesión de aplicación para el usuario, evitando el login o registro de ingreso. Utilizar Cookie Manager+ para visualizar el contenido de las cookies creadas.

En este escenario la función “Recordarme” define dos cookies, la primera contiene el nombre de usuario y la segunda cookie contiene algo similar a un hash MD5. Es factible utilizar entonces servicios en línea, los cuales permiten averiguar el texto plano detrás de diversos tipos de hashs y cifrados.

Aunque la información almacenada para identificar y recordar a los usuarios esté cifrada, es factible averiguar o adivinar esta información. Adicionalmente a esto la información podría ser vulnerable a ser capturada a través de una falla como XSS - Cross-Site Scripting, o mediante un acceso local a la computadora del usuario.

Fuentes:

https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project
https://addons.mozilla.org/en-us/firefox/addon/cookies-manager-plus/
http://www.hashkiller.co.uk/md5-decrypter.aspx

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/


Libro Fundamentos de Hacking Web 2ed 2024
Libro Fundamentos de Hacking Ético 2ed 2024