¿Está seguro mi código fuente?

Código fuente - Blog

La herramienta de la que hablamos es searchcode.com que realiza todo tipo de búsquedas sobre repositorios tan conocidos como Github, Bitbucket, Google Code, Codeplex, Sourceforge y Fedora Project. Permite establecer exploraciones filtradas por lenguaje de programación, sobre un repositorio concreto, por fuente, etc.

searchcode

Algunos de los grandes números que publicitan son: “Search over 20 billion lines of code” y “Search code from over 7,000,000 projects”, suena tentador, y si nos dicen que busquemos pues nosotros vamos y buscamos, siempre por el bien de la ciencia y porque hay que probar el funcionamiento de la herramienta…

Búsquedas de palabras, por ejemplo, “password strength”:

https://searchcode.com/?q=password+strength

searchcode - 1

Bonita comprobación de contraseña robusta en Javascript, esperemos que en el ServerSide la cosa este un poco más controlada.

Suele ser práctica habitual usar contraseñas sencillas como “1234” o similares, veamos dos ejemplos:

https://searchcode.com/?q=password+1234

searchcode - 2

Bueno no vamos a dramatizar, es posible que este código fuente sólo sea un ejemplo y que nunca llegue a producción o, simplemente, sean esquemas de funcionamiento.

En este punto, buscamos directamente hashes y/o cadenas en MD5 como, por ejemplo, “admin” o “1234”:

searchcode - 3

Vaya resulta que vas y pones los backups de las bases de datos con el código fuente y luego lo subes a un repositorio público y bueno, aunque pueda ser un alarde de generosidad o que la copia de seguridad sea antigua (este es un ejemplo de otros tantos), no creo que al administrador del sistema le haga mucha gracia que esto esté rondando por ahí. De todas formas, puede tratarse de datos antiguos o información ya obsoleta con contraseñas y usuarios no válidos pero ¿y las direcciones de correo?

Probad a buscar algo tan simple como “@gmail.com”.

Hemos realizado otras pruebas como buscar la cadena “consumer_key”.

searchcode - 4

Seguro que se trata de datos de demostración y no son funcionales, pero es bastante probable que haya algún descuido por ahí escondido entre tantas líneas de código, sólo es cuestión de echarle paciencia.

Otra búsqueda curiosa es, utilizando las exploraciones por palabras clave que veíamos antes, buscar las palabras “exploit” y/o “webshell”:

https://searchcode.com/?q=webshell+%2B+exploit

En fin, hay multitud de ejemplos y curiosidades.

¿Y sobre prácticas de desarrollo inseguro? ¿se podrían encontrar casos de uso?

Y si buscamos .. “username mysql password database”

TonyHAT - 046

Anuncios

Un comentario en “¿Está seguro mi código fuente?”

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s