comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Lo que se comparte por Dropbox al alcance en Google.

  • 2 Respuestas
  • 2467 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado morodog

  • *
  • Underc0der
  • Mensajes: 350
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
  • Skype: MorodoG
  • Twitter: m4r4d4g
« en: Diciembre 10, 2013, 05:13:23 am »
En varias ocasiones he hablado por aquí del problema que tienen las opciones de indexación de URLs tal y como se configuran el Google que pueden llevar a fugas de datos y problemas de privacidad. Ejemplos de esto os he puesto con Facebook, WhatsApp y con Gmail, pero el número de sitios que se ven afectados son infinitos, por lo que puedes pasarte una tarde divertida dorking as a ninja a ver qué sale.



Un amigo por Facebook - ¡Gracias Alan Brian! - en lugar de pedirme que hackeara cosas para él, me avisó de que en Dropbox sucede lo mismo y que el material que allí se puede encontrar es jugoso. Basta con irse a echar un ojo al fichero robots.txt de DropBox para ver que todos los archvios que se encuentren en los directorios /s y /sh están prohibidos para su indexación, pero sin embargo las direcciones URLs y los títulos de las mismas sí que van a quedar indexadas salvo que se introduzcan las etiquetas en el código HTML de NoIndex o se añada el X-Robots-Tag "NoIndex" a nivel de servidor web y Google los vea, algo para lo que no debería estar configurado el fichero robots.txt ya que si está el fichero robots.txt prohibiendo el acceso no verá las etiquetas. Incongruencia máxima de cómo funciona esto.




En Dropbox el número de URLs indexadas es de 1.570.000 sólo en el directorio /s, lo que deja para buscar y jugar largo rato haciendo hacking con buscadores. Hay algunas URLs filtradas con permisos de seguridad, archivos que ya no están, pero lo cierto es que la mayoría de esas URLs llevan a ficheros que sí que están y son accesibles, por lo que se puede sacar de todo.

Buscando así, al azar, aparecen ficheros con bases de datos de usuarios y contraseñas, archivos comprimidos con fotografías, código fuente de programas y aplicaciones, libros, música que se puede buscar como hacíamos en Skydrive, películas, y casi cualquier cosa que se te ocurra.



Entre las cosas que he sido capaz de localizar está la presentación completa del Codemotion ES que yo utilicé este año y que entregué a los organizadores, lo que me ha permitido recuperar completas todas las diapositivas de la charla que había perdido - larga vida al hacking -.

Cuidado con Google y el robot.txt

De todo ello, lo que más me ha maravillado es cómo se puede buscar en Google información prohibida por robots.txt. Veréis, yo he buscado por IBAN para ver si había gente que hubiera subido datos de cuentas corrientes a Dropbox, y me ha salido un resultado donde en el título se puede ver la palabra IBAN, aunque como está protegido por robots.txt no puedo ver ningún dato del resultado.




Cuando he ido a ver el sitio a ver qué se estaba compartiendo de forma pública se puede ver que hay una página con información de una cuenta bancaria, pero el texto IBAN solo aparece en el contenido del fichero PDF y no se encuentra en el título de la página, es decir, está solo en el texto de algún enlace a este documento.




Mirando el código fuente a ver otra de las palabras que aparece en el título que aparece en los resultados de búsqueda de Google, la palabra CODICE, se puede ver que tampoco está allí, por lo que parece más que evidente que Google está indexando la URL de ese documento PDF y deja buscar por términos asociados, como los del texto del enlace. Es decir, Google indexa en su base de datos el documento PDF, genera metadatos sobre el documento generados a partir el texto de algún enlace y deja buscar por ellos.




Además, parece que la gente de DropBox ha decidido que esto no debería estar así y en el código fuente se puede ver la etiqueta NoIndex para que Google no indexe nada del contenido de esa página web, pero Google no le ha hecho caso porque esta URL está prohibida por robots.txt y Google nunca leerá esa etiqueta y por tanto no le hará caso..




A los administradores de Dropbox les tocará darse un paseo por las Herramientas del Webmaster e ir borrando las URLs que ellos consideren una a una, para que no quede esto así. La otra alternativa sería borrar el robots.txt para que Google lea las etiquetas noindex. Curioso funcionamiento. Si compartes algo por Dropbox, revisa bien los permisos de seguridad y las cuentas a las que les das acceso, y ten presente que si Google accede de alguna forma a tu URL puede que aparezcan fugas de información en el título, los metadatos generados con el texto del enlace que se cree sobre el documento o la misma URL.


Saludos.


FUENTE | Chema Alonso

Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« Respuesta #1 en: Diciembre 12, 2013, 07:34:43 pm »
Chema realmente es un modelo a seguir, tipo tan inteligente y rebuscado para encontrar fallos, la verdad tiene un pensamiento lateral increible!!! lastima q trabaja para microsoft

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

Desconectado morodog

  • *
  • Underc0der
  • Mensajes: 350
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
  • Skype: MorodoG
  • Twitter: m4r4d4g
« Respuesta #2 en: Diciembre 12, 2013, 07:44:26 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Chema realmente es un modelo a seguir, tipo tan inteligente y rebuscado para encontrar fallos, la verdad tiene un pensamiento lateral increible!!! lastima q trabaja para microsoft

Bueno para Microsoft una parte, es consultor tecnológico de telefónica, ha fundado eleven paths, con 15 años fundó informática 64 aquí en Madrid ( España)... Es un coquito el tio.

Saludos.

 

¿Te gustó el post? COMPARTILO!



Hacking Google + Archive.org = Archive.is

Iniciado por Rootkit_Pentester

Respuestas: 7
Vistas: 4337
Último mensaje Abril 25, 2017, 06:57:58 pm
por Rootkit_Pentester
Taller de Hacking con buscadores N° 1 Google Hacking

Iniciado por Rootkit_Pentester

Respuestas: 9
Vistas: 2967
Último mensaje Noviembre 29, 2017, 09:32:47 am
por Rootkit_Pentester
¿Quieres acceder a artículos de pago en un diario online? Hazte pasar por Google

Iniciado por graphixx

Respuestas: 0
Vistas: 1786
Último mensaje Marzo 08, 2016, 05:28:26 pm
por graphixx
Como usar Google DoSear contra sitios web alojados en grandes dominios

Iniciado por Pr0ph3t

Respuestas: 1
Vistas: 2159
Último mensaje Mayo 04, 2012, 12:12:50 am
por Cronos
Google groups expone cientos de datos de sus usuarios por defecto

Iniciado por Rootkit_Pentester

Respuestas: 0
Vistas: 621
Último mensaje Julio 27, 2018, 03:23:43 pm
por Rootkit_Pentester