Continuando con la herramienta, una vez ya enumeramos la información básica, empezaremos a utilizarla, iniciaremos obteniendo el listado de modelos disponibles en la instancia de Odoo, para ello podremos emplear un usuario interno o bien un usuario de portal. Para lograr esto debemos realizar una petición por medio de xmlrpc, empleando el método search_read.
Imagen 1: Código para obtener listado de módulos en Odoo.
Lo anterior es importante puesto que con ello obtendremos el listado completo de modelos disponibles en la instancia, con esto, podremos verificar en cada modelo, posibles métodos y funciones inseguras que permitan comprometer la instancia, esto empleando ataques de fuerza bruta para adivinar nombres de métodos y funciones, así como buscar código fuente de aplicaciones en internet.
Imagen 2: Resultado de búsqueda de modelos.
En la imagen 2 obtenemos el listado de modelos, empleando un usuario de portal, con lo cual, ya tendremos un listado de información suficientemente grande para auditar, además, de validar a cuanta información tenemos acceso en cada modulo, que ya iremos obteniendo mas adelante.
Saludos.
Lexer Pars.
No hay comentarios:
Publicar un comentario