Posted in Pentest on January 15th, 2009 by m313
La autenticación es un punto clave a la hora de auditar una aplicación web.
Hoy escribo porque me he encontrado un video muy educativo que explica cómo un fallo muy común y simple puede permitirnos descubrir todos los usuarios y contraseñas de una apliación web.
El video es por cortesía de enablesecurity y explota la vulnerabilidad utilizando la aplicación comercial Acunetix.
Sobra decir que no es necesaria esta aplicación para realizar el ataque. Personalmente para realizar ataques de este tipo recomiendo el Burp Suite, aunque no por ello el video deja de ser muy didáctico:
Como recurso principal sobre problemas de autenticación web recomiendo la sección Authentication Testing de la OWASP Testing Guide, que recientemente ha liberado la versión 3 de la misma.