Publié par UnderNews Actu - Télécharger l'application Android

C’est le français Jean-Pierre Lesueur (DarkCoderSc) qui vient de publier un article très intéressant pointant du doigt une faiblesse des dossiers publics Dropbox permettant de s’emparer des données via fuzzing.

C’est sur son blog que le PoC est expliqué via le titre explicite « Dropbox, a public enemy ». L’exploitation est très simple, il suffit de connaître un ID de compte Dropbox et d’obtenir ce genre d’URL : https://dl.dropboxusercontent.com/u/ID_DU_COMPTE_DROPBOX/.

Ensuite, il montre comment intercepter les données contenues sur le dossier public du compte visé en utilisant un fuzzer (ici wfuzz) et une distribution Linux spécifique au pentest, Kali Linux.

sshot-4

sshot-8

sshot-9

Un Google Dork suffit pour s’emparer d’ID utilisateurs Dropbox : allintext: »dl.dropboxusercontent.com/u/ ».

PIA VPN

[youtbe OsFQSSd_7Rk nolink]

Le but étant bien sûr d’utiliser une attaque par dictionnaire via brute force afin de tomber sur des fichiers compromettants.

Le but de rendre ce genre de chose public est bien entendu d’éduquer les gens et les utilisateurs afin que ces derniers ne mettent aucun fichier confidentiel sur ce genre de service ouvert à tous (et c’est parfois le cas). Si vous devez mettre des fichiers « sensibles » dans le dossier public, il faudrait au préalable les chiffrer afin de les rendre inutilisable pour une personne malintentionnée, par exemple via TrueCrypt.

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (3 votes, note : 4,67 sur 5)
Loading...

Mots clés : , , , , , ,

Recherches en relation :

  • site web francais vulnerable brute force

Vos réactions