16 ene 2015

Pentesting con Mantra. Parte VI

Buenas a todos, en el post de hoy de Pentesting con Mantra queríamos hablaros del plugin "User Agent Switcher" incluido por defecto en el navegador web.

Se trata de una extensión de Firefox, desarrollada por Chris Pederick, que nos permitirá personalizar el User Agent del navegador:



Su objetivo principal es suplantar la cadena del User Agent. Para ello, nos ofrece una serie de cadenas preconfiguradas como la de un iPhone 3, algunas versiones de Internet Explorer o robots de Google, así como la posibilidad de añadirlas nosotros de forma manual.


¿Para qué es utilizado durante un pentest? 

Pues bien, serán muchas las ocasiones en las que un aplicativo cambie su funcionamiento según el navegador desde el que se accede. El ejemplo más típico actual es el de los sitios web que adaptan su tamaño o su contenido a los smartphones para su mejor visualización. Veréis en muchas ocasiones que al entrar en un sitio web desde un móvil, os redirige a algún subdominio como m.dominio.com, al detectar el user agent. Otra caso también bastante habitual son los sitios web que cambian su comportamiento cuando llega el crawler de Google o Bing, para ofrecer "términos clave" para posicionarse mejor en los buscadores mediante Black SEO. Aunque son penados en los resultados de búsqueda si se descubre la trampa (recordad el caso de BMW), aún hay muchas compañías que siguen haciendo uso de esta técnica.


También será interesante camuflar nuestro User Agent para que no averigüen desde qué entorno estamos realizando un ataque.

En resumen un plugin sencillo y muy útil en un pentest :)

Saludos!

No hay comentarios:

Publicar un comentario