[HACK] Re: [HACK] Caso real y práctico de hacking

David A. Pérez kamborio at hotmail.com
Tue Nov 27 12:43:39 CET 2001 

Hola,

>  En este post voy a contar como conseguí hackear la máquina de un
> amigo (con su permiso y consentimiento), y la solución o fix que le
> sugerí. A algunos les resultará instructivo -espero-. La idea tb es
> que la gente aporte nuevas ideas, sobre todo a algunas cuestiones que
> dejaré planteadas entre lineas. Allá vamos...

[...]

> 5.- Conclusiones
>
>  No es nada novedoso sino tremendamente conocido el hecho de que
> siempre debemos parsear todos los datos suministrados por un usuario;
> si no se hace, luego pasa lo que pasa ;-) Los usuarios son siempre
> potenciales atacantes. Hay que intentar ser un poco paranoico y no
> presuponer nada!

Cuanta razon! :)

Gracias por el post, ha sido muy entretenida la lectura.

Sin salirme demasiado del tema, permitidme que os pase este link en el que
hablo un poco sobre el tema de la verificacion de los datos suministrados
por los usuarios:
http://www.kamborio.com/?Section=Articles&Mode=select&ID=12

Los ejemplos que pongo soon para aplicaciones web programadas en ASP, pero
se pueden extrapolar facilmente a cualquier tipo de aplicacion y de
lenguaje. A ver ahora cuantos empiezan a jugar con mis páginas ASP para
hacerme tragar lo que escribi y pillarme con las bragas bajadas ;)

Yo me empecé a concienciar del tema de verificar lo que intruduce el
usuario despues de leer un articulo de Hispasec. Ya se habia hablado en
esta lista sobre ese articulo, pero creo nunca esta de mas mencionar el
tema otra vez:
http://www.hispasec.com/unaaldia.asp?id=473

La semana pasada estuve haciendo pruebas con portales y sitios de noticias
que usan ASP, la mayor parte de ellos en español, y los resultados fueron
bastante "interesantes". Esta mañana, buscando por mi nueva tele en el
sitio web de Panasonic, tambien me divertí un rato haciendo "perrerias".
No me he puesto a investigar mucho acerca de otros sitios que usan PHP o
JSP, pero parece que esos sitios tampoco salen muy bien parados.

Ya no estamos hablando de un error de implementación y que podamos hacerle
"jugarretas" al codigo para saltarnos los mecanismos de verificación de
entrada de datos, es que NO EXISTEN estos mecanismos.

Salu2,

 David A. Pérez

                              http://www.kamborio.com/
 _                       _                   _
| | __  __ _  _ __ ___  | |__    ___   _ __ (_)  ___
| |/ / / _` || '_ ` _ \ | '_ \  / _ \ | '__|| | / _ \
|   < | (_| || | | | | || |_) || (_) || |   | || (_) |
|_|\_\ \__,_||_| |_| |_||_.__/  \___/ |_|   |_| \___/
      El perdón es la venganza de los buenos (anónimo)

More information about the hacking mailing list