lunes, 10 de enero de 2022

Programación insegura y seguridad por obscuridad IV

Dentro del servidor, con una conexión ssh, examinaremos la configuración del sistema Odoo, regularmente se encuentra en /etc/odoo-server.conf., en mi caso, al ubicar el archivo, este no se encuentra disponible. Podemos ubicarlo, sin embargo, emplearemos el comando history, para saber que sucedió antes que tuviéramos acceso al mismo.

Imagen 1: Ubicando archivo de configuración de Odoo.


Imagen 2: Comando history.

Después de ejecutar el comando history, obtenemos el archivo de configuración. el cual se encuentra el home de odoo, llamado .odoo-server. Para ello realizamos un cat .odoo-server. De lo anterior, quisiera resaltar 2 aspectos importantes, contamos con una contraseña para la base de datos, y una contraseña master odoo, la cual permite habilitar un crud para base de datos.

Imagen 3: Archivo de configuración de Odoo.

Intentamos ingresar a la cuenta root probando ambas claves, para ello ejecutamos sudo su.
Imagen 4: Probando claves con root.


Después de realizar esto, verificamos que la clave de root, es la misma que admin_passwd. Con esto hemos logrado acceder al 100% del servidor, esto debido a que el servidor de la base de datos y Odoo se encuentran en el mismo servidor. Lo cual resulto muy fácil, ya que el hecho de aplicar la misma contraseña para múltiples servicios, es una mala practica. Sin embargo, si no hubiera sido el caso, podríamos intentar crackear la clave por medio de john.

Como puedes ver, el hecho se sumar una mala implementación en Odoo y utilizar programación insegura y agregando la seguridad por obscuridad, dan como resultado un sistema totalmente expuesto ante ataques, que dejan comprometida toda la información del sistema, el sistema y el servidor en cuestión.

Saludos.
Lexer Pars.




No hay comentarios:

Publicar un comentario