Hace dias.. estando explorando la web encontre un articulo de un xss en el sitio web de whatapp , pero dije si tiene tal vulneabilidad por que no explorar otras mas, y bueno estaba en la razon encontre unas falla de seguridad que podria comprometer al sitio. y al servidor.

1. Full Path Diclosure

Full Path Diclosure en Whatapp

Full Path Diclosure en Whatapp

Su path: /usr/home/whatsapp/public_html/blog.whatsapp.com/wp-includes/user.php

Ps hace dia escribi un articulo de Full path diclosure y sus que se encuentran multiples en wordpress. ps whatapps no habia corregido su servidor tenia dentro de el, un WordPress Desactualizado y mal configurado.

Whataaps Blog, tenian una version viejisima! de wordpress

WordPress 3.1.1 Y La version actual es de 3.5 ( en ese momento dije.. sera que podria explotarlo?) pero con incapacidades tendria que tener un 0day para esa version ya que los exploit publicados solo hay de un DoS en el Servidor y yo dije naaa.. eso no me gusta.

Reference: http://osvdb.org/show/osvdb/72142

Aunque claro era de suponerse se encargan mas del desarrollo de la misma app que la seguridad de la web.

y Bueno dije verifiquemos el readme.html ( el archivo por defecto de wordpress donde nos dira la version que esta corriendo whatapps.

http://blog.whatsapp.com/readme.html

 

En ese momento antes de mi reporte estaba en 3.1.1 lastima que no tome captura :/ pero bueno.

Con toda esta informacion al respecto decidi reportarlo a las 6:44 pm GTM +5 a los mail que aparecen en el sitio, 8 horas despues ya fueron reparadas y posteriormente actualizada el wordpress. y sin ninguna repuesta por parte de Equipo de whataaps. Bueno cumpli mi ecometido que era reportarla ;).

” Aunque yo pensando mi mente, que pasaria si yo fuece entrado y fuece infectado la app de whatapp y el mismo sitio. U.u Lindoo.. ??” hahaha

Saludos  a todos los lectores de WebSecurityDev Blog

Reporte: Dylan IrziAsesor de Seguridad

Acerca de Mi Dylan Irzi

Colombiano, WebMaster, Independent Security Researcher , Apasionado por la Seguridad Informatica, #WhiteHat. Programador. Co-Fundador y Dueño de WebSecurityDev.com

Noticias Seguridad