Análisis de APPs: Vulnerabilidades en Bankia

Llevo perdida la cuenta sobre la cantidad de aplicaciones móviles que he analizado, y de ellas, un gran número acceden a un servidor para recoger datos y mostrarlos en la app. La mayoría de estos servidores acaban teniendo algún tipo de vulnerabilidad, en muchas ocasiones de carácter grave, que podrían comprometer de forma muy seria el servidor en cuestión.

Esto hasta cierto punto puede ser entendible, bien por que sea una aplicación pequeña con un solo desarrollador que por limitaciones no puede estar en todos los temas (que sigue sin ser una justificación), o por que los desarrolladores confían en que a ese servidor se accederá únicamente a través de su aplicación, sin caer en la cuenta de que realmente será accesible por cualquier persona.

Sin embargo, hay ciertas limitaciones, y la gota que colma el vaso es que ciertas aplicaciones "importantes" (bancos, como en este caso), pequen de estos fallos, cuando tienen a su disposición todos los recursos para evitarlos.

Recientemente he estado analizando aplicaciones bancarias, empezando por la de Bankia. Esta aplicación accede a servicios alojados en el servidor "m.bankia.es", utilizando SSL siempre que maneja datos de los clientes. Sin embargo, también realiza peticiones al mismo servidor para recibir otros tipos de datos (noticias, productos, últimos tweets, etc), pero esta vez de forma no segura, enviando y recibiendo todo el contenido en texto plano.

Leer mas...


[#Insanity Writeup] nullc0n 2k15 HackIM

Feliz año! :D

Aquí tenéis el writeup de nuestro primer CTF del año, el nullcon HackIM.

Podeis escoger la Versión PDF o seguir leyéndolo aquí ;)

Leer mas...


[Writeup] NavajaNegra 2k14 CTF

Durante los días 26 de septiembre hasta el 1 de octubre se realizó el CTF de NavajaNegra, la participación era solitaria, sin equipos, así que algunos miembros del grupo Insanity decidimos realizar susodicho CTF.

El resultado final a sido el siguiente Writeup:

Descargar/Ver Writeup

Thankyu!

Leer mas...


[#Insanity Writeup] NcN2k14 CTF Quals

Un CTF entretenido, gracias a los organizadores :)

Este es un writeup de como creemos recordar haber pasado las pruebas, ya que no fuimos apuntando los flags ni algunos de los pasos que seguimos. Puede que no sea del todo verídico, y que la cerveza tenga algo que ver con ello.

Leer mas...


[#Insanity Writeup] RootedArena 2k14

Agradecemos a la organización de RootedCon el esfuerzo en montar el Riddle, ha sido divertido ;­)

Seguir leyendo para versión html

Versión PDF

Leer mas...


Página 1 de 4 Siguiente