viernes, 28 de enero de 2022

Odoo hacking IX

 En la anterior entrada, visualizamos como obtener información sobre a que módulos tenemos acceso mediante un usuario de portal, claro que esto también puede aplicar a un usuario interno en Odoo. Sin embargo el acceso al modelo ir.model no siempre estará disponible en todas las instancias de Odoo y no por eso debemos confiar que nuestra instancia esta segura, pues por medio de un ataque de fuerza bruta es posible validar a que modelos tiene acceso un usuario de portal y que clase de acceso posee.

Es importante listar estos modelos corregir accesos en los que corresponda, aunque eso podremos verlo mas adelante, en esta entrada, estaremos limitados a obtener esta información que nos podrá ser útil adelante para atacar la instancia de Odoo. 

Para lograr listar los modelos, emplearemos un ataque de fuerza bruta, mediante un diccionario de modelos estándar de Odoo, en el cual se pueden incorporar mas modelos, por ejemplo, si se posee el listado de aplicaciones instalas y hay aplicaciones de terceros instalas con código fuente disponible, se pueden agregar al listado por defecto.


Video : Ataque de fuerza bruta a modelos y accesos.

Saludos.
Lexer Pars.

No hay comentarios:

Publicar un comentario