Spoofing Vivienda

Uno cortito:

Han encontrado una vulnerabilidad en la página web del Ministerio de Vivienda con la que se pedía la ayuda a la emancipación. La vulnerabilidad: un form spoofing.

Entre otras cosas, lo que permitía era obtener datos de una persona diferente a la que estaba utilizando la web. La verdad, no la he visto pero es lo que he podido leer. El problema está en que parece que con un mísero script se podrían haber obtenido todos los registros de todas las personas inscritas a esta ayuda.

¿En qué consiste el form spoofing? Una de las formas de hacerlo sería copiar el formulario de este sitio, ponerlo en otro lado, modificar algún parámetro determinado y ejecutarlo enviando los datos al "action" original. Así, si no se controlan los datos que llegan, se podrían enviar algunos que no son esperados.

Un ejemplo muy claro. ¿Qué día de la semana vas nadar? Y te dan un listado de Lunes a Domingo. Se espera que sólo llegue uno de esos valores, pero nosotros modificamos el formulario copiado para que envíe otra opción no esperada.

En el caso de la página del Ministerio entiendo que alguno de los componentes del formulario enviaba algún dato crítico para obtener los datos del usuario en concreto. Si se cambia ese dato se podría llegar a hacer lo que nos han comentado. Pero, como ya digo, no se qué campos han tocado exactamente ni bajo qué circunstancias se producía.

En otro post ya contaré algo que hace una semana pensé en contar y con lo que se podría conseguir hacer este tipo de cosas. A sí que.. Recordad bien: no confiar únicamente en el lado cliente. Comprobar siempre en el lado servidor.

- Fuente principal
- Ejemplo de form spoofing.
- Otro ejemplo.