Vulnearibilidad Velneo


([N1] Gabriel Gutierrez) #1

Tengo un vServer montado con la direccion vatp://54.68.214.98:690/, el problema que me indica el cliente al cual se le desarrollo la aplicacion, es sobre la seguridad que entrando desde iExplorer o Chrome con la direccion: 54.68.214.98:690 me descarga un archivo llamado “descarga” con tamaño de 1Kb, alguien sabe a que se refiere dicho archivo y como bloquear su descarga. Ya realice dicha prueba en otros servidores vServer y en todo realiza dicha descarga.


([N1] wikan) #2

El navegador al no recibir un formato “entendible” lo interpretará como una descarga, no creo que sea una vulnerabilidad.


([N1] Gabriel Gutierrez) #3

el problema es que tengo que dar una explicación detallada al cliente, debido a que para ser aprobado realizan una serie de pruebas de vulnerabilidad, y ese punto es el que tiene detenido su entrega


([N4] Enrique) #4

Hola Gabriel,

te recomiendo que si es necesario una explicación detallada y oficial solicites esa información directamente a soporte de Velneo. En su momento tuve que dar una explicación sobre el protocolo VATP y soporte me dio la respuesta oficial y detallada sobre el mismo con lo que nuestro cliente tuvo toda la información necesaria para proseguir sin problemas con el proyecto.

Saludos!


([N1] wikan) #5

Eso será Velneo el que podrá explicarte mejor.
Hice la prueba y lo que te manda es NULL NULL EXC y en el vAdmin te aparece un error de comando.

Habría que probar, a lo mejor lo más que puedes conseguir es una denegación de servicio se haces un ataque masivo.


([N1] Gabriel Gutierrez) #6

El problema es que no se si me atiendan debido a que soy nivel 1


([N4] Enrique) #7

Gabriel,

deberías plantearte tener al menos un nivel que tengas soporte. Parece muy “arriesgado” afrontar proyectos con clientes siendo Nivel 1.

Creo importante recordar que Nivel 1 es para estudiar e investigar Velneo, pero cuando ya afrontamos proyectos con nuestros clientes la cosa cambia y deberíamos tener el respaldo necesario para que nuestros proyectos “naveguen sin mayores turbulencias”.

Saludos!


([N4] Enrique) #8

https://velneo.zendesk.com/entries/41203938-Comparativa-entre-niveles

con nivel 2 ya tenes soporte.


([N1] wikan) #9

De todas formas sigo pensando que no es una vulnerabilidad, simplemente tienes un puerto a la escucha le estás mandando una solicitud http:GET, no te devuelve nada que pueda dañar el sistema y el mismo vAdmin dice que es un comando no reconocido.

Si se preocupan por la seguridad bloquen el tráfico http hacía el vServer.


([N1] Gabriel Gutierrez) #10

ya he estado suscrito como nivel 2 y 3 y durante todo el tiempo que se pago dichos niveles por parte de Soporte nunca nos dieron una respuesta concreta a nuestras dudas, asi como también en un momento se localizo un bug de velneo, el cual siguen sin corregir y por parte del departamento de Soporte nunca me solucionaron nada, ni me indicaron como corregir dicho problema.

Es una pena pero opte por no seguir pagando niveles 2 y 3 debido a que no obtenía nada a cambio, solo promesas de mejoras en las futuras versiones y cada 3 o 6 meses lo mismo.

Todas las dudas que he tenido han sido realmente resueltas por medio de este foro


([N4] Enrique) #11

Cada situación tiene sus particularidades y entiendo tu situación. Desde nuestra experiencia ha sido todo lo contrario pero bueno, cada situación es bien particular.

Ahora dejando ese tema de lado, lo que dice Manuel es totalmente cierto. No hay nada relevante devuelto en realidad y si es un tema muy importante bloquear ese tipo de acceso, basta bloquear el puerto 690.

Saludos!


([N4] Enrique) #12

Perdón, quise decir bloquear el protocolo http hacia ese servidor.