Hacme Casino
Páginas: 4 (977 palabras)
Publicado: 12 de mayo de 2015
¿Qué es Hacme Casino?: Es una plataforma de aprendizaje para el desarrollo de software seguro y está dirigido a los desarrolladores de software, pruebas de penetración de aplicaciones, arquitectosde software, y cualquier persona con un interés en la seguridad de la aplicación. Esta plataforma de casino en línea extensible está escrito usando Ruby on Rails y demuestra los problemas de seguridadque potencialmente pueden surgir en estas aplicaciones.
Para el ejercicio en cuestión se hizo necesario el uso de “Windows XP mode”, ya que el simulador Hacme Casino presenta error en Windows7(exactamente con el “Hacme Casino Server START”, pues se cierra súbitamente).
Vulnerabilidades:
1. Authentication Bypass
Explotación: Al intentar iniciar sesión utilizando la comilla sencilla (‘), nosdebería arrojar un error de tipo SQL, pero nos da un simple error de usuario incorrecto. Al ver esto intentamos utilizar la instrucción ‘) OR 1=1—esperando algún resultado, y efectivamente nos dejaingresar con el primer usuario registrado en la base de datos, en este caso Andy Aces
Causa: La consulta de usuarios está planteada de la siguiente manera, SELECT * FROM users WHERE (username=’’)OR 1=1—AND password=’’), nótese que la parte resaltada es la que utilizamos en la inyección. Esta consulta carece de rigurosidad lo que permite el “ataque“
Falla: La falencia utilizada nos permitióiniciar sesión con un usuario sin autorización y apostar con recursos de dicho usuario.
Consecuencia:
-General: La vulnerabilidad de autenticación otorga grandes riesgos a la seguridad de lasplataformas web, pues otorga la oportunidad de acceder a información considerada personal.
-Particular: En el caso específico del casino, el tema es muy delicado ya que el dinero de los usuarios está expuestoal ataque de personas que posiblemente lo puedan extraer.
Solución:
-General: Volver más estricto el código de validación de ingreso, haciéndolo pasar por mas filtros (consultas anidadas) que...
Para el ejercicio en cuestión se hizo necesario el uso de “Windows XP mode”, ya que el simulador Hacme Casino presenta error en Windows7(exactamente con el “Hacme Casino Server START”, pues se cierra súbitamente).
Vulnerabilidades:
1. Authentication Bypass
Explotación: Al intentar iniciar sesión utilizando la comilla sencilla (‘), nosdebería arrojar un error de tipo SQL, pero nos da un simple error de usuario incorrecto. Al ver esto intentamos utilizar la instrucción ‘) OR 1=1—esperando algún resultado, y efectivamente nos dejaingresar con el primer usuario registrado en la base de datos, en este caso Andy Aces
Causa: La consulta de usuarios está planteada de la siguiente manera, SELECT * FROM users WHERE (username=’’)OR 1=1—AND password=’’), nótese que la parte resaltada es la que utilizamos en la inyección. Esta consulta carece de rigurosidad lo que permite el “ataque“
Falla: La falencia utilizada nos permitióiniciar sesión con un usuario sin autorización y apostar con recursos de dicho usuario.
Consecuencia:
-General: La vulnerabilidad de autenticación otorga grandes riesgos a la seguridad de lasplataformas web, pues otorga la oportunidad de acceder a información considerada personal.
-Particular: En el caso específico del casino, el tema es muy delicado ya que el dinero de los usuarios está expuestoal ataque de personas que posiblemente lo puedan extraer.
Solución:
-General: Volver más estricto el código de validación de ingreso, haciéndolo pasar por mas filtros (consultas anidadas) que...
Leer documento completo
Regístrate para leer el documento completo.