jueves, 30 de abril de 2015

Porque y Como evitar el Directory Listing en aplicaciones WEB

Escribo esta entrada para hablarles de un tema muy interesante de nombre  Directory Listing
o también conocido como listado de archivos en directorios primero permitanme escribirles una pequeña introducción


¿Que es el  Directory Listing?

Es básicamente una vulnerabilidad , se da cuando un servidor web  recibe una petición HTTP o HTTPS a una carpeta y esta no tiene un archivo por defecto entonces el servidor web devuelve un listado de todos los archivos que contiene la carpeta.

Directory Listing

¿Que peligros trae el Directory Listing?

Los posibles peligros que pueda traer esta vulnerabilidad en si depende del contexto por ejemplo suponga  un sitio web que contenga una carpeta donde se encuentra los documentos para administrarlo , si logra obtener la lista de esos archivos puede ser peligroso.



O una carpeta llamada Backup donde se guardan copias de seguridad semanales.

Nada mejor para que tomen conciencia sobre esta vulnerabilidad que un caso real en pleno año 2015 , navegaba por Internet cuando encontré un sitio web con esta vulnerabilidad ( por razones de ética personal no pienso revelar su nombre solo diré que se trate de un centro preuniversitario)
aunque sea difícil de creer en una carpeta de esa web se guardan las fotos de sus alumnos , ( supongo que serán para el carnet que te dan cuando te matriculas en la mayoría de centros preuniversitarios para que puedas ingresar a las clases )


Decidí investigar un poco mas sobre esas fotos y se me ocurrió obtener información con Metashield Analyzer




Esto fue parte  lo que obtuve



Logre enterarme de que en ese centro preuniversitario utilizan una cámara Canon ,  Modelo Canon PowerShot A550 y que retocan las fotos usando Adobe Photoshop CS5 , ademas que usan el sistema operativo Windows , con eso di rienda suelta a mi imaginación y se me ocurrio muchas ideas malignas , por ejemplo hacer un spoofing de un e-mail ( haciéndome pasar por la empresa Adobe)  que diga los siguiente:

 "La versión de Photoshop  que usa tiene un severo fallo de seguridad por favor descargue este parche que es compatible con la versión de Windows que utiliza ,  si su antivirus se activa no se alarme es normal ya que este parche va a remover librerías del sistema"

¿Como evitar el  Directory Listing?

Bueno no quisiera reinventar la rueda , para esa pregunta existen muchos tutoriales en internet 
por ejemplo