7 may 2013

Los famosos SVN/Entries

En las auditorías web se realizan una gran cantidad de pruebas, las cuales unas buscan la agresividad de conseguir información sensible a base de consultas o manipulación de ciertos parámetros, pero en otros casos se actúa de forma pasiva para lograr información que un usuario no tiene porqué saber. Por esta razón, hoy os traemos el concepto de las SVN/Entries. El fichero .snv/entries almacena información de las últimas actualizaciones que se han llevado a cabo en un desarrollo que utilice SVN como gestor de código. Simplemente, es un archivo de texto con acciones llevadas a cabo por el gestor.

Entonces, ¿Por qué es útil? En ese fichero se puede conseguir nombres de usuario, directorios, backups, etcétera. Ya que el gestor utiliza todo de manera local y el fichero queda accesible desde Internet. Utilizando la FOCA como herramienta para comenzar la auditoria podremos encontrar resultados asombrosos, en la siguiente imagen se puede ver como un SVN/Entries está disponible, además de muchas otras cosas...

Tal y como se puede visualizar en la imagen, se pueden observar el nombre de usuario que realiza la subida de la versión, el archivo modificado y directorio. En la FOCA PRO existe un plugin interesante para parsear toda la información que se puede encontrar con estos SVN/Entries.

Hay que vigilar el desarrollo de aplicaciones web, ya que estamos de acuerdo en que el repositorio de cómodo es algo casi obligatorio a nivel profesional, pero hay que tener cuidado donde se está publicando, y si el gestor se encuentra en el mismo servidor. Los FOCA Kids vigilan tu web... 

2 comentarios:

  1. Es genial! No se como no se me habia ocurrido

    ResponderEliminar
  2. [...] SVN/Entries, famosos desconocidos? Aquí os traemos que son y cuan de importante son para una auditoría. [...]

    ResponderEliminar