-¿Te unes?- ㊜Suscribete!!!

Ciberseguridad en Desarrollo Web: Lo Que Muchos Ignoran

-

Muchos desarrolladores suelen enfocarse en la funcionalidad de sus aplicaciones sin realizar pruebas de seguridad. Sin embargo, garantizar la protección de los datos y la infraestructura es una parte fundamental del desarrollo de software.

Introducción

¿Alguna vez has sentido que una aplicación no es lo suficientemente segura? En mi tiempo libre, realizo análisis de seguridad en aplicaciones web con el objetivo de mejorar mi entorno de desarrollo y fortalecer mis conocimientos en ciberseguridad. En esta ocasión, compartiré un informe detallado sobre el análisis de seguridad realizado en el dominio https://veripagos.com.

Detalles del Análisis

  • Fecha de Análisis: 14 de febrero de 2025
  • Entidad Analizada: Veripagos
  • Dirección IP: 86.48.1.74
  • Subdominios Identificados:
    • info.veripagos.com (103.169.142.0)
    • mail.veripagos.com (86.48.1.74)
    • v1.veripagos.com (86.48.1.74)

Registros DNS y MX

Ejecutando veripagos.com, obtuvimos la siguiente respuesta:

Servidor:  SCZ-200-73-96-00167.tigo.bo
Address:  200.73.96.167

Respuesta no autoritativa:
veripagos.com   MX preference = 10, mail exchanger = mail.veripagos.com

Servidor Web y Escaneo de Puertos

Ejecutando nmap veripagos.com:

PORT    STATE  SERVICE
21/tcp  closed ftp
22/tcp  open   ssh
80/tcp  open   http
443/tcp open   https

Ejecutando nmap -A veripagos.com:

443/tcp open  ssl/http nginx
Sistema operativo detectado: Variantes de Linux (Kernel 2.6.X - 5.X)

Certificado SSL

El sitio usa un certificado SSL emitido por Let's Encrypt:

  • Válido desde: 2024-12-28T16:31:40
  • Expira en: 2025-03-28T16:31:39
  • Dominios cubiertos:
  • Clave Pública: RSA 2048 bits
  • Algoritmo de Firma: sha256WithRSAEncryption

Tecnologías Detectadas

Para identificar las tecnologías utilizadas en la aplicación, empleé la herramienta WhatWeb, obteniendo los siguientes resultados:

  • Frameworks: Laravel, HTML5, Open Graph Protocol
  • Encabezados de Seguridad: Strict-Transport-Security (HSTS habilitado)
  • Cookies Detectadas: XSRF-TOKEN, devveripagos_session
  • Cabeceras de Compatibilidad: X-UA-Compatible: IE=edge
  • Campos Sensibles Detectados: password (posible campo de autenticación en /login)

Hallazgos Críticos

Deficiencias en los Encabezados de Seguridad

Configuración 

Estado 

X-Frame-Options 

Falta (Vulnerable a Clickjacking) 

X-Content-Type-Options 

Falta (Riesgo de detección errónea de MIME type) 

Content-Security-Policy 

Falta (Posible ejecución de scripts maliciosos) 

Referrer-Policy 

Falta (Riesgo de filtración de URLs) 

Permissions-Policy 

Falta (Acceso no restringido a APIs sensibles) 



Si bien los archivos y configuraciones analizadas son seguras en cuanto a acceso directo, se recomienda mejorar la configuración de seguridad implementando las cabeceras faltantes para mitigar riesgos relacionados con Clickjacking, filtración de datos y ejecución de scripts no autorizados. 

Vulnerabilidades Detectadas con Nikto

Utilizando la herramienta Nikto. Se identificaron varias vulnerabilidades relacionadas con encabezados de seguridad y configuraciones de cookies que pueden comprometer la seguridad de la aplicación. Se recomienda la implementación de medidas correctivas para mitigar estos riesgos. 

Ejecutando veripagos.com, encontramos:

https://veripagos.com -C "XSRF-TOKEN=eyJpdiI6IlJSb1dNRnFoK3AxRG8yNEFqU0FLYkE9PSIsInZhbHVlIjoidTJtMmZ2SE1NTnJ4VVpOcG1hem9HWG9kV3pDbnlFUWhsK2ZjSjlmOUhoelJXak9rdTFRTzRRU2lEZFpVRjJkWWpiNXRDVFlyQVgycU5RRUhVNW01dzJuQmRyY2hrUlRyZi9kTEx5UTFrTWx5MkVDQ2xqbTl0TTZsVGpVMTRYSmoiLCJtYWMiOiIwNWE0YTgzOWJmNmY1NGZlYjE5ZmE4MTZlYjk5OTY0MzgyZjU2Mzc1ZmQ1NmFiYTIwM2Y5NGJjMWRlMWUxYmU3IiwidGFnIjoiIn0=;veripagos_session=eyJpdiI6InFTc2VKTmp6Y3JNYUNDRVNGZ3loc1E9PSIsInZhbHVlIjoiVGY0ZkJ3L0NPdEEzUWY1bEgyK1NMNzlleDZVTG5raUVsbzVwbU5qaWhTczg5QVRlVzloTmVKK0pHd0U5K21UVDRMUXkvbVVvdktSaWdGa1dvR052VktPMEpGaHdVVDNabzlKRVRUUzArRHNlZVIxWCtuTUxTa2lTemdsUDdaQUciLCJtYWMiOiI2OWY2YTdlNmM4OTAyMGIyN2QyMTA5ZWFlNTM1YjllYjkwMGIwZDYwNmM0ZTVhOGRlNThjNDg2YWFkM2Q1YzcyIiwidGFnIjoiIn0%3D" -useragent "Mozilla/5.0 (Windows NT 10.0; Win64; x64)" 

ID 

Descripción 

Impacto 

Solución Recomendada 

001 

Falta de encabezado X-Frame-Options (Clickjacking) 

Alto 

Agregar X-Frame-Options: SAMEORIGIN en el servidor o aplicación 

002 

Falta de encabezado X-Content-Type-Options (MIME-Sniffing) 

Medio 

Agregar X-Content-Type-Options: nosniff en el servidor o aplicación 

003 

Cookie XSRF-TOKEN sin flag Secure 

Medio 

Configurar las cookies en Laravel para que usen Secure cuando se usa HTTPS 

004 

Cookie XSRF-TOKEN sin flag HttpOnly 

Alto 

Configurar HttpOnly en Laravel para evitar acceso desde JavaScript 

005 

Cookie devveripagos_session sin flag Secure 

Medio 

Asegurar que todas las cookies sensibles usen el flag Secure 

006 

Redirección automática a /login 

Bajo 

Verificar si /robots.txt o sitemap.xml están exponiendo el endpoint 



MedioAsegurar que todas las cookies sensibles usen Secure

Pruebas Realizadas

Prueba de Formulario y Manejo de Errores

Para mitigar los riesgos de un ataque CSRF, se deben implementar las siguientes medidas de seguridad:

  • Usar tokens CSRF: Generar un token único en cada formulario y verificarlo en el backend.
  • Configurar cookies con SameSite: Establecer las cookies como SameSite=Strict o SameSite=Lax para evitar su envío en solicitudes de terceros.
  • Evitar solicitudes POST sin validación: Requerir autenticación adicional, como una contraseña o autenticación de dos factores.
  • Implementar Content Security Policy (CSP): Restringir el origen de los scripts y formularios para evitar ejecuciones no autorizadas.

Ejemplo de Código Vulnerable

Este es un ejemplo de un formulario que podría ser utilizado en un ataque CSRF:



Para evaluar la posible vulnerabilidad de Cross-Site Request Forgery (CSRF), realicé una prueba en la aplicación, con los siguientes resultados:



  • La ruta /dashboard no permite solicitudes POST, lo que ayuda a mitigar ataques CSRF.
  • Sin embargo, se detectó un error técnico expuesto: MethodNotAllowedHttpException.
  • Recomendación: Mejorar el manejo de errores para evitar la exposición de detalles del servidor

Vulnerabilidad 

Impacto 

Severidad 

Falta de Manejo de Errores Correcto 

Puede revelar información sobre la configuración del servidor y el framework 

Medio 

Protección CSRF Efectiva 

La ruta no permite POST, lo que mitiga ataques CSRF 

Bajo 

Falta de Redirección al Login 

No redirige al login cuando el token es inválido 

Medio 

Prueba de XSS Y SQL

1. Ejecución de XSS (Cross-Site Scripting)

Se realizaron pruebas de inyección de scripts en formularios y parámetros GET, obteniendo ejecución de código JavaScript en la sesión de usuario.




Evaluación de XSS en la Consola del Navegador 

Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en la consola del navegador en la aplicación basada en Laravel. La inyección de código malicioso en elementos del DOM permite la ejecución arbitraria de scripts, lo que puede comprometer la seguridad del sistema y exponer datos sensibles de los usuarios. 


Impacto de las Vulnerabilidades 

Vulnerabilidad 

Impacto 

Severidad 

XSS en mensajes de error 

Permite la ejecución arbitraria de scripts y el robo de información 

Crítico 

Modificación del formulario de login 

Permite redirigir credenciales de usuario a un sitio externo 

Crítico 

Cambio en la visibilidad de contraseñas 

Exposición de credenciales en el cliente 

Alto 

Extracción del token CSRF 

Puede permitir ataques CSRF si se combina con otras vulnerabilidades 

Alto 

Modificación del botón de envío 

Puede redirigir usuarios a sitios maliciosos o ejecutar código arbitrario 

Crítico 



2. Ataques de Inyección SQL 

Se probaron ataques SQL Injection en campos de inicio de sesión , no se encontró nada critico .

3. Robo de Sesiones

Se interceptaron cookies de sesión sin HttpOnly y Secure, permitiendo el secuestro de sesiones activas.

Robo de Cookies y Suplantación de Sesión 

Se ha identificado la posibilidad de robo de cookies y suplantación de sesión utilizando herramientas como curl y scripts en Python. Este tipo de ataque puede comprometer la seguridad de los usuarios y permitir accesos no autorizados. 

Comprobación de Cookies con curl 
Se realizó una solicitud con curl para analizar las cabeceras HTTP y las cookies establecidas por el servidor: 
curl -I https://veripagos.com 

 Las cookies XSRF-TOKEN y veripagos_session pueden ser extraídas y reutilizadas en otros navegadores o herramientas automatizadas para suplantar la identidad del usuario. 

Prueba 

Resultado 

Envío de cookie falsa 

Éxito (código 200) 

Acceso sin autenticación 

Permitido 

Respuesta guardada 

test.html 





Recomendaciones de Seguridad 

Medida 

Descripción 

Establecer HttpOnly en las cookies 

Evita el acceso a las cookies desde JavaScript para prevenir robo vía XSS. 

Usar Secure y SameSite=Strict 

Asegura que las cookies solo se envíen a través de HTTPS y restringe su uso entre sitios. 

Implementar expiración y rotación de cookies 

Reduce la ventana de explotación en caso de robo de cookies. 

Autenticación basada en tokens 

Implementar JWT con expiración en lugar de sesiones tradicionales. 

4. Prueba de Concepto (PoC) - WebShell en Imagen

Se realizó una prueba de concepto ocultando una WebShell en una imagen para obtener acceso remoto al servidor. Para ello, se desarrolló un script que manipula los píxeles de la imagen y permite ejecutar comandos de forma encubierta.

    "Estamos dentro"

    Video POC


        Github https://github.com/Pericena/veripago

    Herramientas Utilizadas

    Durante este análisis, utilicé las siguientes herramientas:
    • → Identificación de tecnologías.
    • → Detección de vulnerabilidades en servidores web.
    • → Análisis de tráfico y pruebas de seguridad.
    • → Escaneo de puertos y detección de servicios.
    • → Identificación de vulnerabilidades web.
    •  → Recolección de información DNS.
    • → Análisis de registros del dominio.

      Conclusión

      La seguridad en las aplicaciones web es un pilar fundamental que no debe subestimarse. Este análisis ha puesto en evidencia varias deficiencias en los encabezados de seguridad y la configuración de cookies, las cuales pueden corregirse con ajustes sencillos tanto en el servidor como en el código de la aplicación.

      Realizar auditorías de seguridad de manera periódica es esencial para detectar y mitigar vulnerabilidades antes de que sean explotadas, garantizando así el cumplimiento de los estándares de protección de datos y la integridad del sistema.

      Espero que este análisis ayude a reforzar la importancia de la seguridad en el desarrollo web y sirva como guía para implementar mejores prácticas en sus aplicaciones.

      📌 ¡Nos leemos en el próximo artículo!

      Comentarios

      Publicar un comentario

      Comparte tu opinión y únete a la conversación sobre seguridad informática en nuestro blog.

      ¿Hay algo que quieras buscar?

      ㊜Luishiño

       ★ ★ ★ ★ ★

      >_

      Hola soy ぎLuishiño y este es mi Blog personal..... 

      Soy un joven emprendedor, curioso, creativo y confiable, interesado en mejorar profesionalmente. Estudio Ingeniería de Sistemas y me encanta escribir sobre temas que me apasionan, como programación, desarrollo web, aplicaciones y software. A través de mi blog, comparto conocimientos, experiencias y proyectos propios. ¡Únete a mi viaje hacia el conocimiento y el crecimiento tecnológico!
      ⚠ Nadie es como tú y ese es tú súper poder
      ୧⍢⃝୨ Sigue mi blog :3
      TᕼE ᔕEᐯEᑎ ᑕOᗪEᔕ

      ↪Mis redes sociales↩

      Entradas populares de este blog

      Sockberus Autentificación de proxys

      -
      Imagen
      En ocasiones necesitamos ocultar nuestra IP mientras navegamos y una de las muchas formas de conseguir esto es empleando un proxy SOCKS ¿Que es un servidor proxy? Es un programa o dispositivo que intercepta las conexiones de red que un cliente hace un servidor remoto. Esta definición de servidor proxy igual no aclara mucho a la mayoría, por eso voy a tratar de hacer una definición menos técnica pero que cualquiera pueda entender. Un servidor proxy es como un intermediario entre nosotros (el cliente) y el vendedor (el servidor remoto). El proxy en esta función de intermediario puede realizar muchas funciones, como por ejemplo ocultar nuestra IP, operaciones de cache, etc.   ¿Donde conseguir servidores proxy SOCKS gratuitos? Existen diversas páginas donde ofrecen listas publicas de servidores SOCKS, y es cierto que en ocasiones puedes encontrar alguno que funcione pero por norma general están tan saturados que son muy lentos, son inestables o simplemente no funciona...
      Leer Más »

      Problemas Resuelto Recursividad Programación II - Capitulo 1

      -
      Imagen
      Hola ,queridos lectores y programadores  he creado esta sección de problemas resueltos para compartir algunos ejercicios, para ello usaremos el lenguaje c++ con IDE C++Builder Problemas resuelto de la materia programación II Problema 1: Escribir una función que devuelva true si un vector contiene únicamente cadenas palíndromas. Una cadena es palíndroma si se leen igual de izquierda a derecha como de derecha a izquierda .(20 Ptos) Ej.1 v["oso", "oruro", "reconocer", "arenera"] ==>  true Ej2. v["rotor", "aibofobia","sala", "ala"] ==>false La respuesta debe estar máximo en dos funciones  void InvertirCad ( String & Cad ){ byte L = Cad . Length (); if (( L <= 1 )||( Cad == "" )){ Cad = Cad ; } else { String c = Cad . SubString ( 1 , 2 ); Cad . Delete ( 1 , 2 ); InvertirCad ( Cad ); Cad = Cad + c [ 2 ]+ c [ 1 ]; } } bool Pa...
      Leer Más »

      Droid Jack control sobre los dispositivos Android

      -
      Imagen
      DroidJack es un RAT android que da el poder para establecer el control sobre los dispositivos Android de su víctima con una interfaz sencilla de utilizar y todas las características que necesita para su seguimiento. Requisitos: Windows 8.1 (Atacante) con Java JRE versión 8.0 Android (Víctima) Abrir puertos del router (En caso de hacerlo en WAN)  Tener una IP Estática (En caso de hacerlo en WAN) Características de DroidJack Este troyano para Android es uno de los más completos. Con él vamos a poder tener acceso a remoto a todo el dispositivo infectado, desde la agenda, las llamadas y los SMS hasta el micrófono y las cámaras del smartphone. Todo. Entre otras, las principales características de este software malicioso son: Permite ocultarse en cualquier aplicación o juego para Android sin dar señales de vida. Acceso completo al almacenamiento de archivos, pudiendo copiar datos al PC o desde el PC al dispositivo. Comunidad amino hacker Seguimiento y control t...
      Leer Más »

      Ofertas y Descuentos

      Libros

      Curso Exploit: Esteganografía y Encriptación

      Domina las técnicas de ocultación y cifrado utilizadas en el hacking avanzado. Aprende a esconder información en archivos, imágenes y más, utilizando esteganografía, y protege datos con métodos de encriptación imposibles de romper. Este curso te llevará desde lo básico hasta la aplicación de herramientas y exploits reales.

      Instructor: pericena
      Duración: 2 horas por sesión
      Modalidad: Online

      $50 USD $40 USD

      Libros

      Curso OSINT: Inteligencia de Datos Públicos y Hacking

      El OSINT (Open Source Intelligence) es una de las herramientas más poderosas en el hacking y la ciberseguridad. En este curso aprenderás a recolectar, analizar y explotar información pública disponible en internet. Descubre cómo los hackers encuentran datos sensibles, rastrean personas y empresas, y cómo puedes protegerte de estas técnicas.

      Instructor: pericena
      Duración: 2 horas por sesión
      Modalidad: Online

      $50 USD $40 USD

      El arte de la guerra nos enseña a no confiar en la posibilidad de que el enemigo no venga, sino en nuestra propia preparación para recibirlo; no confiar en el azar de que no ataque, sino mejor en que hemos hecho inaccesible nuestra posición. — El arte de la guerra, Sun Tzu

      ¡Gran Estreno!

      Nuevo video disponible. ¡No te lo pierdas!

      Mira este video y descubre la verdad

      📌 Tú y las redes sociales

      💡 ¿Realmente eres libre en el mundo digital?

      Publicada por 🚀 Servicio Técnico "The Seven Codes" en Martes, 5 de diciembre de 2019

      Es momento de cuestionarlo todo… ¿Eres realmente libre o solo sigues el juego de las redes sociales?

      Banner

      By Luishiño

      ¡Conéctate con la comunidad!

      Únete a nuestro chat en vivo para compartir ideas, hacer preguntas y conocer a otros apasionados como tú. 🚀

      Comentarios

      Cargando...

      Blog Populares

      Instalar DoxWeb con Termux

      -
      Imagen
      El doxing es una técnicas de recopilación de información por Internet sobre una persona o una organización te invito a que te quedes a leer un poco mas sobre el tema .    Se puede echar mano de esta técnica careciendo de profundos conocimientos en informática, como veremos en el ejemplo que se cita al final. Pero el doxing también puede ser un método complejo si es llevado a cabo por un analista informático. 📱¿Qué es DoxWeb?📱 DoxWeb es una herramienta que utiliza diversos sitios web para recopilar información de un usuario, es decir, es una herramienta de Doxing . 📱INSTALACIÓN DE DoxWeb EN TERMUX (ANDROID)📱 ☆・。。・゜゜・。。・゜ apt update && apt upgrade -y termux-setup-storage pkg install -y git git clone https://github.com/TermuxHacking000/DoxWeb cd DoxWeb chmod 711 DoxWeb.sh ./DoxWeb.sh Autor Termux-Hacking ☆・。。・゜゜・。。・゜ Código ---------------------------------------------------- case $Opcion_DoxWeb in 1) termux-open...
      Leer Más »

      Instalar Metasploit-Framework En Android Con Termux

      -
      Imagen
      Metasploit es un proyecto de código abierto para la seguridad informática, que proporciona información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración "Pentesting" y el desarrollo de firmas para sistemas de detección de intrusos. Wikipedia Antes de comenzar, quiero decirles que NO SE NECESITA ROOT. Bien, comenzamos instalando Termux como anteriormente hablamos de termux y como descargar + los comandos que deberíamos aprender . Requisitos 1) Android 5.0 en adelante 2) Termux ( Descárguelo de Google Play o Play Store ) 3). Alrededor de 500 mb de almacenamiento interno ( para la instalación adecuada de Metasploit ) Una vez descargado la app de termux , instale desde Google Play o descargue el último archivo APK desde AQUÍ . https://play.google.com/store/apps/details?id=com.termux&hl=en https://termux.en.uptodown.com/android ✫Lo que aremos antes de instalar cualquier paquete (script,freimork,etc) vamos a actualizar con el comando . ...
      Leer Más »

      Termux Instalar Ngrok

      -
      Imagen
      ¿Qué es Ngrok?📱 Ngrok es una herramienta que permite acceder nuestro servidor local a cualquier persona en internet con la que compartamos una url generada dinamicamente. 📱INSTALACIÓN DE Ngrok EN TERMUX (ANDROID)📱 ╔═══════ ≪ °❈° ≫ ═══════╗ apt update && apt upgrade -y termux-setup-storage pkg install -y git git clone https://github.com/TermuxHacking000/NgrokTH cd NgrokTH chmod 711 ngrok.sh ./ngrok.sh ╚═══════ ≪ °❈° ≫ ═══════╝ Autor del script  Termux-Hacking Registrarte en la plataforma de ngrok https://dashboard.ngrok.com/ Escribe el authtoken de tu cuenta Ngrok y pulsa Enter. ./ngrok authtoken 1ahJE2TKUO5ZNWKE1K0QKXW2toL_75BnL7buT1A4hFxbbXKxo ☆・。。・゜゜・。。・゜★ ✎ Aclarar también que funciona para windows ,linux y termux Vídeo hecho por fabrix  miembro de la comunidad The Seven Codes █▌│▌║▌ │█│║││█│    Descarga gratis la app The Seven Codes y comparte Google play Sígueme ...
      Leer Más »

      Hackear contraseñas WiFi con Python fácilmente con este sencillo script

      -
      Imagen
      Este script busca en Windows contraseñas wifi con python ya conocidas y las muestra junto al nombre de la red.  Esto es útil para las ocasiones en que olvida su contraseña de WiFi. Anteriormente hablas de algunos comandos de windows  "netsh wlan" , he incluso desarrollamos un script con bat, y con powershell hoy veremos como hacer un script simple y sencillo con python . 'Bienvenido al buscador de claves wifi básicamente sirve para tener un respaldo de las claves wifi de tu maquina, por si quieres formatear, o algo parecido XD ya que las claves te las muestra cifradas. también puedes usar ingenieria social para obtener las claves de las pc de tus compañeros , amigos etc.'.  Si te da algun error, ejecuta como administrador , Obtenga contraseñas Si escribe  netsh wlan show profiles  cmd, se le mostrarán los perfiles para las conexiones wifi que su computadora ha almacenado. Si a continuación, escribir netsh wlan show profile {Profile Name} key=clear ,...
      Leer Más »

      WhatScriptApp: Automatización de Mensajería y Su Impacto

      -
      Imagen
      WhatScriptApp es una herramienta diseñada para el envío masivo de mensajes a través de WhatsApp, especialmente útil en estrategias de marketing digital . Su propósito principal es facilitar la difusión de anuncios y notificaciones a clientes o empleados de manera eficiente. Sin embargo, esta tecnología también puede utilizarse en otros contextos, incluidos los ataques masivos organizados por ciertas comunidades en internet. Actualmente, existen grupos que utilizan herramientas similares para inundar chats y afectar a determinados usuarios o colectivos. Legiones en Internet: Entre la Comunidad y el Caos En el mundo digital, muchas legiones y grupos organizados se forman con diversos fines. Mientras algunos crean espacios de pertenencia y amistad, otros traspasan los límites del humor negro, recurriendo a tácticas disruptivas como el spam masivo o los ataques coordinados en redes sociales y plataformas de mensajería. WhatsApp y las Vulnerabilidades en Android Uno de los ejemplos má...
      Leer Más »

      By Blog

      By Luishiño

      ¡Bienvenido a nuestra sección de Seguridad!

      Comparte el enlace con tus amigos

      ¡Copiar Enlace!