File Disclosure Browser: Para analizar ficheros .DS_Store
Los ficheros .DS_Store contienen información sobre los archivos existentes en una carpeta que pueden dar mucha información de lo que hay en un sitio, pese a no poder verlo. Esto puede ser utilizado, en auditorias de seguridad web, para conseguir obtener un listado de ficheros y descubrir ficheros de backup, de configuración, o carpetas con información jugosa que pueda ayudar al atacante a encontrar un fallo en el sitio web.
Es por eso que, para los administradores de sitios web que usan Mac OS X, os dimos algunos consejos para evitar la generación de ficheros .DS_Store desde vuestros equipo, algo que sucede con demasiada frecuencia. De hecho, desde Informática 64 encontramos estos ficheros en la propia web de Apple.com, lo que nos movió a reportárlo al equipo de seguridad de la compañía, algo que nos valió, - en su siempre cordial forma de responder a nuestros casos - otro agradecimiento por parte de Apple.
Cuando se analiza un sitios web usando la herramienta FOCA, se busca de forma automática los ficheros .DS_Store en todos los directorios, pero no los analiza, algo que debes, hacer de forma manual o haciendo uso de esta herramienta hecha por DigiNinja: File Disclosure Browser
La herramienta es un programa hecho en Perl que, dado un fichero .DS_Store y una URL base, genera todas URLs a todos los ficheros que aparecen internamente, lo que permite poder scriptar el proceso de análisis de estos ficheros.
Fuente: Seguridad Apple
Es por eso que, para los administradores de sitios web que usan Mac OS X, os dimos algunos consejos para evitar la generación de ficheros .DS_Store desde vuestros equipo, algo que sucede con demasiada frecuencia. De hecho, desde Informática 64 encontramos estos ficheros en la propia web de Apple.com, lo que nos movió a reportárlo al equipo de seguridad de la compañía, algo que nos valió, - en su siempre cordial forma de responder a nuestros casos - otro agradecimiento por parte de Apple.
Cuando se analiza un sitios web usando la herramienta FOCA, se busca de forma automática los ficheros .DS_Store en todos los directorios, pero no los analiza, algo que debes, hacer de forma manual o haciendo uso de esta herramienta hecha por DigiNinja: File Disclosure Browser
La herramienta es un programa hecho en Perl que, dado un fichero .DS_Store y una URL base, genera todas URLs a todos los ficheros que aparecen internamente, lo que permite poder scriptar el proceso de análisis de estos ficheros.
Fuente: Seguridad Apple
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!