blog

La meta o propósito principal de una carpeta de nombre “config”, es dividir código lógico de los datos críticos y variables, pues sin esta carpeta se debería escribir la contraseña correspondiente a la base de datos en cada archivo php o js. Consecuentemente si la contraseña cambiase se deberá modificar tal vez cientos de archivos.

Entre el tipo de contenido más frecuentemente almacenado se encuentra información sobre conexión hacia bases de datos, variables de entorno o rutas, integraciones con terceros (llaves API).

El Google Dork utilizado es el siguiente:

site:pe intitle:"index of" inurl:/config/

La directiva site: restringe los resultados únicamente a dominio pe, correspondiente a Perú.

La directiva intitle: Busca en el título de página en texto “index of”, con el propósito de encontrar servidores quienes tengan habilitado el listado de la carpetas.

La directiva inurl: Filtra los resultados para mostrar únicamente aquello conteniendo el texto “/config/” en la URL.

En esta oportunidad Google encontraron 1,300 resultados.

Empresa Nacional de la Coca S.A. - ENACO S.A.

ELABS PUCP

Atmosfera com pe

Desde la perspectiva de ciberseguridad está búsqueda tiene diversas implicancias, con consecuencias potencialmente devastadoras. El principal riesgo es el robo de credenciales de bases de datos, pues los archivos contenidos en esta carpeta frecuentemente contienen texto plano. Exposición de llaves API y secretos, pues las aplicaciones modernas se conectan hacia otros servicios. Así mismo puede generar un compromiso total del servidor, dado el hecho esta carpeta podría almacenar llaves para encriptación, pudiendo un ciberatacante tener la capacidad de falsificar cookies o sesiones, para escalar privilegios y ejecutar comandos.

Fuentes:

https://www.exploit-db.com/google-hacking-database
 

Los archivos “logs” o de registro, son archivos generados por software, los cuales contienen información de las operaciones, actividades, y patrones sobre la utilización de una aplicación, servidor, o sistema de TI. Incluyen un registro histórico sobre todos los procesos, eventos, y mensajes, junto con datos descriptivos adicionales como marcas de tiempo, para contextualizar esta información. Las marcas de tiempo indican aquello ocurrido dentro del sistema, además de cuando ocurrió. Así en caso de generarse un problema en los sistemas, se dispondrá de un registro detallado sobre todas las acciones realizadas antes del incidente.

El Google Dork utilizado es el siguiente:

site:pe filetype:log

La directiva site: restringe los resultados únicamente a dominio pe, correspondiente a Perú.

La directiva filetype: restringe los resultados para sean mostrados únicamente archivos con extensión LOG.

En esta oportunidad Google encontraron únicamente 7 resultados, de lo cuales únicamente 3 son funcionales.

Scientific Electronic Library Online – SciELO

Municipalidad Provincial de Cañete

Superintendencia Nacional de Salud

Las implicancias de los archivos Logs desde la perspectiva de ciberseguridad, se relacionan fundamentalmente con la exposición de información. Credenciales en texto plano, pues algunos programadores puede registrar erróneamente intentos fallidos de sesión, incluyendo nombre de usuario y contraseña. Rutas sensibles, mostrando potencialmente cuales archivos están siendo accedidos, exponiendo carpetas ocultas administrativas. Direcciones IP, registrando quienes han accedido hacia un sitio, permitiendo al ciberacatante identificar a otros usuarios o administradores para realizar ataques de ingeniería social. Tokens o Cookies, pues si el log de una aplicación web está mal programada podría contener tokens activos permitiendo al ciberatacante robar la sesión del usuario. Finalmente errores SQL, exponiendo fallas en la base de datos proporcionando indicios sobre como realizar una inyección SQL.

Fuentes:

https://aws.amazon.com/what-is/log-files/
 

WampServer es un entorno para desarrollo web en sistemas operativos Windows. Permite crear aplicaciones web con Apache2, PHP, y una base de datos MySQL. Además PhpMyAdmin facilita la gestión de bases de datos.

WampServer instala automáticamente todo lo necesario para empezar a desarrollar aplicaciones web, además de ser muy intuitivo. Se podrá rápidamente configurar un servidor sin necesidad de modificar los archivos de configuración.

El Google Dork utilizado es el siguiente:

site:pe intitle:"WAMPSERVER Homepage"

La directiva site: restringe los resultados únicamente a dominio pe, correspondiente a Perú.

intitle: Busca páginas indexadas por Google cuyo título sea exactamente "WAMPSERVER Homepage"

En esta oportunidad Google encontró cuatro resultados.

UGEL 02 | Unidad de Gestión Educativa Local 02

Programa de Compensaciones para la Competitividad

Desde la perspectiva de ciberseguridad la página de inicio de WampServer es un panel de control interactivo.

Un ciberatacante puede obtener información detallas sobre las versiones de Apache, PHP, MySQL, teniendo la capacidad de buscar fallas específicas a explotar. Así mismo se puede obtener información sobre la configuración del servidor, como extensiones cargadas conteniendo vulnerabilidades. También es factible obtener una lista de proyectos, pues WampServer muestra por defecto una lista de todos los proyectos residiendo en el servidor, pudiendo un ciberatacante visualizar los nombres de bases de datos, carpetas de clientes, o código fuente.

Finalmente la página puede incluir enlaces directos hacia phpMyAdmin para gestionar bases de datos. Como también una página phpinfo la cual revela información muy detallada, como variables de entorno, rutas completas en el sistema, configuraciones de red, etc.

Fuentes:

https://www.wampserver.com

Un archivo changelog es una lista de cambios hechos hacia el software el cual ha sido revisado transcurrir del tiempo, como un código base o un producto.

Un archivo changelog puede ser un registro organizado. El autor del archivo changelog puede presentar la información para facilitar su comprensión y consumo. Para un proyecto de software y una liberación de software, un archivo changelog frecuentemente está organizado como correcciones de bugs y nuevas características.

El Google Dork utilizado es el siguiente:

site:pe inurl:changelog

La directiva site: restringe los resultados únicamente a dominio pe, correspondiente a Perú.

La directiva inurl:busca páginas indexadas por Google los cuales incluyan la palabra changelog en la URL.

En esta oportunidad Google encontraron únicamente 1,230 resultados. 

Instituto Nacional Penitenciario - INPE

Gobierno Regional Tacna - Gore Tacna

Calzados Zedani

Desde la perspectiva de la ciberseguridad los archivos changelog son interesantes porque esencialmente son un mapa de potenciales debilidades. En primera instancia puede revelar la versión exacta de software siendo utilizada a nivel del servidor. Así mismo revela un historial de parches, pudiendo un ciberatacante inferir como funcionaba una vulnerabilidad, para probar si está mal parchada. También puede revelar rutas internas hacia diversos archivos, nombres de desarrolladores, y correos electrónicos. Finalmente puede exponer tecnologías ocultas, como plugins o librerías específicas, para afinar más un ciberataque.

Fuentes:

https://en.wikipedia.org/wiki/Changelog
 

Un volcado (dump) SQL correspondiente a MySQL, normalmente se crea con la utilidad en línea de comando de nombre mysqldump (o la más reciente, mysqlpump). Es un archivo el cual contiene sentencias SQL los cuales permiten recrear la estructura o los datos de una base de datos. Este proceso es esencial para la copia de seguridad (backups) correspondiente a bases de datos, la migración, y la configuración de entornos de desarrollo.

El Google Dork utilizado es el siguiente:

site:pe filetype:sql

La directiva site: restringe los resultados únicamente a dominio pe, correspondiente a Perú.

La directiva filetype: restringe los resultados para sean mostrados únicamente archivos con extensión SQL.

En esta oportunidad Google encontraron únicamente 4 resultados.

Universidad Nacional Agraria La Molina

Los otros tres resultados no muestran un archivo de extensión SQL, redirigen hacia un formulario de autenticación.

Desde la perspectiva de ciberseguridad es una técnica para realizar un reconocimiento pasivo, el cual puede ser extremadamente efectivo y de alto riesgo, pues no se está atacando directamente el servidor, sino obteniendo información el cual Google previamente a indexado.

En un archivo SQL se podría encontrar información personal, como nombres, DNI, direcciones, números de teléfono, credenciales de usuarios, hashes de contraseñas o contraseñas en texto plano. También datos financieros.

Al revelarse la versión del software utilizado para realizar el volcado, el ciberatacante conoce cuales vulnerabilidades podría explotar exitosamente contra el servidor.

Fuentes:

https://dev.mysql.com/doc/refman/8.4/en/mysqldump.html
 

El servidor web LiteSpeed conserva recursos sin sacrificar el rendimiento, seguridad ni compatibilidad. Se puede reemplazar Apache con LiteSpeed, y duplicar su capacidad máxima, eliminar la necesidad de una capa de caché externa, y obtener soporte con tecnologías de vanguardia como HTTP/3.

El Google Dork utilizado es el siguiente:

site:pe "Proudly Served by LiteSpeed Web Server"

La directiva site: restringe los resultados únicamente a dominio pe, correspondiente a Perú.

Las dobles comillas definen el texto exacto a buscar en dominios pe.

En esta oportunidad Google encontraron aproximadamente 150,000 resultados.

Comando Conjunto de las Fuerzas Armadas

Dirección Regional de Salud - Lima

Esta búsqueda es utilizada durante la etapa de reconocimiento, como también en la identificación de la superficie de ataque. De esta manera el ciberatacante conoce cual software está ejecutando un servidor. Consecuentemente existe la posibilidad de identificar vulnerabilidades específicas para un versión en particular, como también configuraciones por defecto; como contraseñas débiles, funcionalidades innecesarias, entre otros ajustes.

Fuentes:

https://www.litespeedtech.com/products/litespeed-web-server

Mucha gente conoce por experiencia propia instalar un servidor web Apache no es fácil, y la dificultad aumenta si se requiere añadir MariaDB, PHP, y Perl. La meta de XAMPP es crear una distribución fácil de instalar, con el propósito los desarrolladores se inicien en el mundo de Apache. Para facilitar su utilizción, XAMPP se configura con todas las funciones activadas. En caso ser utilizada comercialmente, se sugiere consultar las licencias del producto; desde la perspectiva de XAMPP, la utilización comercial también es gratuita. Actualmente existen distribuciones para Windows, Linux y OS X.

El Google Dork utilizado es el siguiente:

site:pe intext:"Welcome to XAMPP"

La directiva site: restringe los resultados únicamente a dominio pe, correspondiente a Perú.

La directiva intext: busca páginas conteniendo exactamente el texto Welcome to XAMPP

En esta oportunidad Google encontró 9 resultados.

PROVÍAS NACIONAL

Empresa Nacional de la Coca S.A. - ENACO S.A.

Desde la perspectiva de Ciberseguridad, los ciberatacantes pueden potencialmente encontrar servidores utilizando configuraciones para desarrollo en un entorno de producción, lo cual los hace potencialmente vulnerables a ciberataques exitosos.

Fuentes:

https://www.apachefriends.org/
 

GlobalProtect extiende la protección característica del cortafuegos de nueva generación de Palo Alto Networks a sus trabajadores itinerantes, allí donde estén.

A medida los usuarios y las aplicaciones se aventuran más allá del perímetro tradicional de la red, el mundo necesario a proteger es cada vez más grande. Los equipos de seguridad se enfrentan a nuevos retos al momento de mantener la visibilidad del tráfico de la red y aplicar las políticas de seguridad para detener las ciberamenazas. Las tecnologías tradicionales diseñadas para proteger los endpoints itinerantes, como los programas antivirus para el endpoint principal (o host) y las redes privadas de acceso virtual (VPN, por sus siglas en inglés), no sirven para detener las técnicas de ataque avanzadas empleadas hoy en día, que son mucho más sofisticadas.

El Google Dork utilizado es el siguiente:

site:pe intitle:"GlobalProtect Portal"

La directiva site: restringe los resultados únicamente a dominio pe, correspondiente a Perú.

La directiva intitle: busca páginas cuyo título coincida exactamente con "GlobalProtect Portal"

En esta oportunidad Google encontró 10 resultados.

Policia Nacional del Perú

Fuerza Aérea del Perú

Esta búsqueda es un técnica utilizada durante la etapa para reconocimiento u OSINT (Open Source Intelligence). Los ciberatacantes generalmente lo utilizan para realizar ataques por fuerza bruta contra el formulario identificado, como también identificar vulnerabilidades en una versión específica del software en funcionamiento, con el propósito de posteriormente explotarla.

Fuentes:

https://www.paloaltonetworks.es/resources/datasheets/globalprotect-data…
 

Koha Library Software el primer sistema gratuito y de fuente abierta para bibliotecas del mundo.

Koha es un sistema para gestión de bibliotecas completo y escalable. Su desarrollo está patrocinado por bibliotecas de diversos tipos y tamaños, voluntarios, y empresas de apoyo en todo el mundo.

Koha es un sistema bibliotecario integrado (Integrated Library System) y fue el primer ILS de fuente abierta. Fue creado en 1999 por Katipo Communications para el Horowhenua Library Trust de Nueva Zelanda. La primera instalación se puso funcionamiento en el mes enero del año 2000.

El Google Dork utilizado es el siguiente:

site:pe inurl:"cgi-bin/koha"

La directiva site: restringe los resultados únicamente a dominio pe, correspondiente a Perú.

La directiva inurl: restringe los resultados para la URL contenga obligatoriamente la ruta indicada cgi-bin/koha

Según los resultados de Google, se obtienen 2’270,000 resultados.

Los resultados obtenidos se relacionan con catálogos públicos (OPAC- Online Public Access Catalog), o Catalogo en Línea de Acceso Público.

Desde la perspectiva de ciberseguridad, es una búsqueda útil para intentar encontrar sistemas los cuales quizás no deberían estar expuestos públicamente; aunque de hecho OPAC está diseñado par ser público.

Fuentes:

https://koha-community.org/
 

El mundo necesario a proteger continúa expandiéndose conforme los usuarios cuanto aplicaciones se trasladan hacia localizaciones fuera del perímetro de red tradicional. Los equipos de seguridad se enfrentan al reto de mantener la visibilidad en el tráfico de la red e implementar políticas de seguridad para detener las amenazas. Las tecnologías tradicionales utilizadas para proteger los endpoints móviles, como el software antivirus para endpoints de host y las VPN de acceso remoto, no son capaces de detener técnicas avanzadas empleadas por atacantes más sofisticados.

El cliente de seguridad de red GlobalProtect para endpoints de Palo Alto Networks, permite a las organizaciones proteger a sus empleados móviles extendiéndo la Plataforma de Seguridad de Próxima Generación hacia todos los usuarios, independientemente de su localización. Asegura el tráfico aplicando las capacidades de la plataforma para comprender la utilización de las aplicaciones, asociar el tráfico con usuarios y dispositivos, y fortalecer políticas de seguridad con tecnologías de última generación.

El Google Dork utilizado es el siguiente:

site:pe intext:GlobalProtect Portal inurl:/global-protect intitle:GlobalProtect Portal

La directiva site: restringe los resultados únicamente a dominio pe, correspondiente a Perú.

La directiva intext: busca páginas conteniendo exactamente el texto GlobalProtect

La directiva inurl: restringe los resultados para la URL contenga obligatoriamente la ruta indicada /global-protect

La directiva intitle: busca páginas cuyo título coincida exactamente con GlobalProtect Portal

En esta oportunidad se obtuvo un solo resultado.

Esta búsqueda es un técnica utilizada durante la etapa de reconocimiento u OSINT. Los ciberatacantes generalmente lo utilizan para realizar ataques por fuerza bruta contra el formulario, como también identificar vulnerabilidades en una versión específica de software, con el propósito de posteriormente explotarla.

Fuentes:

https://www.paloaltonetworks.es/resources/datasheets/globalprotect-data…