MANIPULACION DE VERBOS...Permitiendo el Acceso al atacante saltándonos la Autenticación y Autrización HTTP del Aplicativo Web
El otro día realizando tareas habituales de Pentest me encontré con esta vulnerabilidad que era marcada como Crítica por el “scanner de turno” de obligada utilización en ciertos entornos corporativos . . pero, que como en las mayorías de las ocasiones, necesitaba de validación y explotación manual. Lo raro es que nunca me había “saltado” un “ Verb Tampering” (verb o method) en un Pentest oficial que tenía marcado en calendario .. y bueno, pues había que, primero verificar que no era un falso positivo y luego “darle candela”. Como ya me lo había encontrado muchas veces en pentesting no oficiales ( es decir, los que hago en mi casa, no en mi trabajo..) pues tampoco tenía problema. Pero el hecho de “no salir” nunca en entornos corporativos y encontrármelo es más que suficiente para que aprendáis este ataque y su correspondiente “vacuna”. COMO Y POR QUÉ SE PRODUCE Muchas aplicacione...