Antes de empezar con el tema, me gustaría poder realizar las entradas del blog, con mas carga de información, para avanzar con los temas, pero en los últimos días, se me ha complicado mucho la vida, en cuanto a lo laboral, estudios y vida social, que se me ha llegado a limitar bastante el tiempo, sin embargo, espero poder hacer un espacio mas grande de tiempo con el cual, comparta mas de información.
Y continuando con el tema, un modelo con mucha información que debemos tratar de minar, por decirlo así, en otras palabras, extraer toda la información posible, es mail.mail, no siempre, pero si en muchos casos, este modelo se encuentra desprotegido y es posible obtener muchos o mejor dicho, todos los correos enviados y recibidos en la instancia de Odoo.
Lo anterior es bastante bueno, puesto que nos permite con facilidad y algo de suerte, obtener un listado interno de usuarios, esto nos daría la posibilidad de poder realizar un ataque de fuerza bruta a dichos usuarios, para intentar adivinar su clave de acceso.
Es muy importante que al momento de estar desprotegido este modelo y permita obtener la información, realizar la extracción, registro por registro, ya que la cantidad de información recibida puede hacer que el sistema colapse y se realice una denegación de servicio.
Les comparto un video donde se aprecia esta funcionalidad en el script que hemos venido trabajando.
Saludos.
Lexer Pars.
No hay comentarios:
Publicar un comentario