Hace días que no escribimos nada por estos lares, pero esta vez junto con Ferock realizamos una pequeña auditoria a una app de iPad y iPhone que recientemente fue lanzada con bombos y platillos en Honduras.
Comenzamos:
-Nos propusimos averiguar de donde sacaba la información esa app así que necesitábamos sniffear el trafico de esta y así poder ver las peticiones.
Así que utilizamos un proxy nuestro (Squid) y se lo configuramos al iPad, ya teníamos todo el trafico de nuestro iPad pasando por nuestro equipo.
Ingresamos a nuestro proxy en nuestro caso vía SSH y utilizamos la herramienta: tshark
así:
tshark -i eth0 -f 'dst host IPDELSERVERAPP' -w /captura2.cap
**como sacamos la ip del server?, en los logs de acceso del squid.
Que hace esa linea? nos guarda la captura de los paquetes en un archivo, en este caso llamado captura2.cap
Desarrolladores, no utilicen text-plain para autenticar usuarios en sus api o aplicaciones.
Porque? , porque puede suceder esto;
Tenemos el file captura2.cap el cual analizaremos utilizando Wireshark:
En la imagen se alcanza a ver las credenciales, que las borramos por motivos de seguridad y ya que este articulo solo esta hecho con fines educativos y no nos hacemos responsables por el uso que se le de a esta información.
Con estas credenciales se puede acceder al API de la app por lo tanto a la información que se presenta en la misma.
7:06
Anónimo
