Secpronet

Hacking Ético, Seguridad Informática, RedTeam, Pentesting.

miércoles, 13 de abril de 2022

Pentesting Móvil Parte 4

4/13/2022 06:52:00 p. m. Posted by Secpronet , , , , , , , , , , , , , , , , , No hay comentarios
 Pentesting Móvil Parte 4


Como en las entras anteriores ya vimos como crear nuestro laboratorio de pruebas, las herramientas que estamos usando y como capturar trafico.

En esta entrada veremos que podemos hacer cuando ya podemos capturar tráfico, o interactuar con la aplicación de forma dinámica.


¿Qué podemos hacer?

Lo que podemos realizar cuando estemos testeando una Aplicación de forma dinámica, es:
  • Hacer fuzzing en los parámetros de nos muestra la aplicación 
  • Realizar prueba de lógica de negocios.
  • Idors
  • Etc.

¿Como lo realizo?

Al momento de capturar tráfico, podemos modificar los parámetros de la misma, mostraremos unos ejemplos de cómo hacerlo.

Idors (Insecure Direct Object Reference).

Es un tipo de vulnerabilidad que ocurre cuando una aplicación permite a un usuario acceder directamente a recursos, sin realizar el debido control de acceso.

Para realizar idors debemos tener en cuenta un par de cosas: el rol de la aplicación es decir el tipo de negocio, como lo son: los ids, roles, números de cuenta, números de tarjetas, entre otros datos.

 Ejemplo:

Ahora veremos como podemos hacer un IDOR, como ya mencionamos cambiaremos los datos para ver información de otro usuario, los datos de los demás usuarios están acá: https://github.com/WaTF-Team/WaTF-Bank/tree/master/Backend










Espero les sea de utilidad, nos vemos en la quinta parte.

Happy-Hacking 😊


0 comentarios:

Publicar un comentario