Mucha seguridad en el login, y ninguna para la cookie de la sesión :/

freishner

Capo
Se incorporó
16 Noviembre 2021
Mensajes
286
Reciéntemente trabajé en un software que permite minar cuentas :santo .

La mecánica es sencilla, se usa la cookie para saltar todas las medidas de seguridad que tiene la empresa que ofrece los servicios asociados a la cuenta.

Era de esperarse que la empresa no le dé tanto énfasis a la seguridad, dado que su nicho e ingreso, viene por otra parte, dejando las cuentas de usuario en segundo plano, y dándole el foco al desarrollo de productos electrónicos para venta y/o software asociado consumible (ya se imaginarán de que va la empresa).

El login es todo lo que pudieramos esperar de un login, cuenta con verificación de zona, es decir que se bloquea si la cuenta es de usa, y el ingreso es de china, tambien hay un recaptcha enterprise v3, y una verificación por correo, en donde te envían un código de 6 dígitos para el desbloqueo de la cuenta. En este punto, se considera que el activo está perdido, ya que ingresar a un gmail, no es tan sencillo si la se tiene asociado un dispositivo.

La parte contra producente
Aquí viene lo absurdo, la cookie tiene una duración en años. También era de esperarse ya que el aparatejo electrónico requiere mantener la sesión abierta durante un tiempo bien largo.

Pero es injustificado que dure años en un navegador :troll:clap, a sabiendas de que el aparatejo tiene su propio user agent :facepalm
No solo dura años, si nó que, todas las demás medidas de seguridad son inexistentes teniendo dicha cookie.
Pero no es la mejor parte, te puedes generar muchas cookies y todas ellas funcionan... no hay alguna invalidación de la cookie anterior, o algúna notificación de sesiones activas.
Con la cookie puedes ingresar desde una zona prohibida, sin notificación por email, sin challenges para verificar la cuenta, sin recaptcha...

Y como nos pelamos las cookies?

Con una extensión de browser o un ejecutable cualquiera que lea la sesión del browser...

Francamente, me esperaba mas de un gigante de los video juegos :daleoh

PD: Moraleja moraleja... una sesión por cuenta, con duración en minutos si es posible, y que cada vez que se genere una sesión nueva se invalide la anterior.
 

NSonic

* Mako-Chan *
Se incorporó
23 Abril 2007
Mensajes
740
Me acorde del caso del youtuber Sfdx Show que por las cookies le hackearon la cuenta.
 
Upvote 0

razordasquad

Gold Member
Se incorporó
24 Octubre 2005
Mensajes
2.148
por eso y para eso tienes burpsuite... el tema de el ttl y de securizar sesiones es primordial hoy en dia. aun recuerdo cuando detuve un proyecto por que el api key no se guardaba en un vault.... lo mismo cuando hay mamarrachos con sessiones sin control y la autenticacion debil. todo siempre es hackeable hasta cierto punto sobretodo hoy con los desarrolladores junior que para hacerla cortita copian codigo con error...
 
Upvote 0
Subir