Últimamente me estoy interesando mucho (al igual demasiado) en el "pentesting" una "actividad de hacking ético" que cada vez aprendo mas y me llama mas la atención. Leyendo un artículo de nuestro hacker español "Chema Alonso" sobre la seguridad de certificados de Apple, se me ocurrió usar la misma técnica pero en varias webs del estado para comparar los certificados que usan comparados a los que usa Apple o Google. Y estos son los resultados (Leyenda de resultados: A, A-, B, C, D, etc....).
Apple
Agencia tributaria
Aquí ya empezamos a "cojear", nos ponen un "B".
DGT (Tráfico)
En la página web de la DGT obtenemos una "C".
Cita previa sanidad de Madrid (cita para el médico)
Aquí ya podemos ver la seguridad e incluso nos muestra algunas vulnerabilidades en ataques "FREAK"
Cita previa sanidad Nules (Castellón) (cita para el médico)
Esta plataforma ya es el remate, utiliza un formulario escrito en "java" dentro un "frame" desde otra web, pero ambas paginas no tienen seguridad SSL, por lo que en seguridad de certificados "0".
¿Os ha parecido interesante? A mi si :D
0 comentarios: