Nombres de Usuarios y Contraseñas por Defecto en una Aplicación Web
Algunas aplicaciones web generan automáticamente nombres de usuarios. Cuando un atacante conoce esto puede utilizar estos nombres de usuario como base para ataques posteriores. Así mismo algunas aplicaciones web asignan automáticamente contraseñas iniciales, lo cual podría ser detectado por un atacante. En algunos escenarios se asignan como contraseñas los mismos nombres de usuarios, o secuencias fácilmente identificables o factibles de ser adivinadas.
Para las siguientes demostraciones se utilizarán tres CMS populares.
Los logins administrativos en Joomla están disponibles en una área especial. El Super Usuario por defecto es “admin”, el cual es instalado en cada sitio de Joomla.
El Wordpress también se define el nombre de usuario por defecto a “admin”.
El Drupal se presenta el mismo escenario descrito en los anteriores casos.
Aunque en los CMSs detallados no se definen contraseñas por defecto, un atacante podría utilizar los nombres de usuario probando con contraseñas por defecto o fáciles de adivinar para ganar acceso a la aplicación web y realizar acciones no autorizadas.
Existen sitios como SplashData donde se publican listas de las peores contraseñas utilizadas encontradas en Internet.
En algunas aplicaciones web también se generan nombres de usuario de acuerdo a una secuencia predecible como; usuario1, usuario2, usuario3, usuarioN. Si el atacante puede detectar o identificar esto, puede potencialmente enumerar una muy completa lista de nombres de usuarios válidos. Esto aunado a la asignación de contraseñas por defecto, débiles o secuenciales, eleva el riesgo de la aplicación web.
Fuentes:
http://capec.mitre.org/data/definitions/70.html
https://docs.joomla.org/Administrator_%28User%29
http://splashdata.com/press/worst-passwords-of-2014.htm
http://www.joomla.org/
http://www.drupal.org/
https://wordpress.org/
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/