En 2013, cuando trabajaba de manera independiente como probador de penetración, conseguí un concierto con la compañía de mi amigo para realizar una prueba de penetración en un banco “reputado” en el Medio Oriente. El trasfondo era que mi amigo había ganado el trabajo para hacer una prueba de penetración trimestral, es decir, tuvimos que hacer 4 ciclos de prueba de penetración en el año.
Había subcontratado a otra compañía offshore durante los dos primeros trimestres. Y entré para el 3er trimestre. Así que antes de comenzar la prueba de penetración, leí los dos informes anteriores realizados por la compañía offshore.
Cada vez que veo un informe técnico con grandes fuentes enormes y un espaciado de 1.5 líneas con más énfasis en las vulnerabilidades media y baja, las alarmas de mi alarma comienzan a sonar.
Así que, después de leer todos los informes antiguos y realizar el recorrido de la aplicación, aquí comienzo a realizar la prueba de penetración y encuentro una vulnerabilidad muy grave en la que puedo omitir la autenticación mediante el parámetro y la manipulación de URL al aterrizar directamente en su “Portafolio de cuentas” ( Página de transacción), sin siquiera ingresar la contraseña !!! Aunque era una vulnerabilidad grave, en realidad era bastante fácil de explotar y no se necesitaba mucho trabajo de detección o exploración.
- ¿Cuáles son algunos buenos hacks de internet?
- Cómo engañar a Life360 (la aplicación)
- ¿Cuáles son algunos consejos y trucos para comprender el cálculo previo rápidamente?
- ¿Cuáles son algunos hacks de limpieza de cocina?
- ¿Cuáles son los elementos esenciales para desinfectar y limpiar cada habitación en un apartamento / casa (me mudo a un apartamento)? ¿Puede proporcionar una lista completa?
¡Lo que empeoró todo esto fue que la prueba de penetración se realizó en su aplicación de producción en vivo! oops
Ahora viene la parte más interesante, informo esta vulnerabilidad crítica al cliente (el banco) y a mi amigo. Al principio, recibimos muchos “Agradecimientos” y mensajes de trabajo bien hechos. ¡Entonces viene la sorpresa, la compañía de mi amigo, fue “Lista Negra” por no identificar esta vulnerabilidad crítica la primera vez!
Siento que el banco tenía razón en la lista negra (pero me sentí mal por mi amigo) porque la vulnerabilidad descubierta existió durante mucho tiempo desde el inicio y no fue referenciada la primera vez, aunque fue fácil de descubrir.
Incluso ahora utilizo este informe con el nombre del cliente y todas las demás funciones de identificación redactadas como un informe de prueba de penetración de muestra para capacitación interna y referencias.
Como lo veo, no encuentro al cliente (el Banco) responsable de este fiasco, fue más bien la conducta de las 2 pruebas de penetración anteriores que fue el problema. El banco hizo su diligencia debida contratando la prueba de penetración, pero los evaluadores de penetración fueron los que los defraudaron.
Hoy, lamentablemente, muchas organizaciones que dicen hacer pruebas de penetración, básicamente recurren al escaneo automatizado y a los buenos informes pulidos en lugar de centrarse en el trabajo en sí.