¿Sabeis que la página es vulnerable a sniffing de usuarios y contraseñas?

manolito1998 16 octubre 2015 15:42

⋮

Buenas tardes,

No se si ya estáis al tanto, pero probando la seguridad de mi página web con ettercap, me dio por probar en otros sitios que utilizo frecuentemente y mi sorpresa ha sido que puedo ver mi usuario y contraseña de bandaancha con un simple ataque MITM.

Un saludo.

Josh 16 octubre 2015 15:47

⋮

Al hacer login va por https. Y la cookie tiene un md5 de la clave.

Tambien puedes usar la web al 100% por https. Es cuestión de tiempo que este sea el acceso por defecto.

✖

manolito1998 16 octubre 2015 15:56

⋮

En algun sitio falla.

HTTP : 89.248.106.100:80 -> USER: PASS: ******** INFO: bandaancha.eu/usuarios/identificarse

CONTENT: authenticity_token=9o%2FZSx1ZwAZTLVr9w4aNCasYthk%2BsmD%2B5f%2BnNwiYFMvh56HcxILafMtRCMTv66u1cWNoYG5K1TSM35BrUNyMfw%3D%3D&nick=manolito1998&password=********&remember=true

✖

vukits 16 octubre 2015 16:44

⋮

cachondo, el enlace es

"https://bandaancha.eu/usuarios/identificarse"

✖

manolito1998 16 octubre 2015 16:48 ✎

⋮

Perdona, pero lo que he pegado es el log de ettercap (ocultando la contraseña). Mi intención no es faltar os el respeto, solo informar de este bug.

Yo hago login en bandaancha.eu/usuarios/identificarse .

PD. Para saltarme el https utilice el plugin sslstrip.

✖

vukits 16 octubre 2015 16:51

⋮

✖

manolito1998 16 octubre 2015 16:53

⋮

✖

vukits 16 octubre 2015 16:58

⋮

✖

manolito1998 16 octubre 2015 17:10

⋮

✖

BocaDePez 16 octubre 2015 17:20

⋮

✖

manolito1998 16 octubre 2015 17:37

⋮

✖

BocaDePez 16 octubre 2015 17:42

⋮

✖

manolito1998 16 octubre 2015 17:43

⋮

✖

soulreaver 16 octubre 2015 17:51

⋮

✖

manolito1998 16 octubre 2015 17:58

⋮

✖

BocaDePez 16 octubre 2015 21:31

⋮

manolito1998 16 octubre 2015 17:48

⋮

soulreaver 16 octubre 2015 17:44

⋮

manolito1998 16 octubre 2015 16:56

⋮

BocaDePez 16 octubre 2015 15:57

⋮

Habrá que cambiar todos las claves de acceso. :(