Bypass DVR

Iniciado por Hikvision, 16 Julio 2019, 01:01 AM

0 Miembros y 1 Visitante están viendo este tema.

Hikvision

Hola a todo@s.
En primer lugar quiero agradecer la existencia de este foro y de tod@s vosotr@s por toda la info y ayuda q prestais.
Tengo un par de dudas acerca de auditar la seguridad de los Login de los DVR (videograbadores): como ya sabréis, cada vez que se accede al server web de un DVR o camara IP a través del navegador para hacer login y acceder, nos suele pedir descargar e instalar un plugin, para decodificar el stream de video correctamente, etc. Hasta ahi bien. Tengo una camara hikvision en mi casa, funciona a las mil maravillas y la tengo accesible al exterior por el puerto web 9090 (navegador web) y por el puerto 8000 para la app.
Estando en casa de mi madre, quiero auditar la seguridad de la cámara y es aquí donde vienen mis dudas:
1- Este tipo de servicio web de la camara (Login y stream en directo, menú, reproducciones, etc) se puede auditar con programas como Vega, Nikto... etc? Si fuera así, al tener la camara accesible al exterior (web) por el puerto 9090, a la hora de escribir la direccion en el programa a auditar, deberia poner IP pública:9090 verdad? si no pongo nada (puerto 80) accedo al server web del router, que no es lo que me interesa auditar.

2- A la hora de auditar ese servidor web del DVR, hay alguna diferencia en hacerlo antes o después de instalar el plugin que pide para acceder? Me explico: la interfaz web cambia dependiendo de si tenemos o no el plugin instalado: si no lo tenemos, aparece una interfaz tipo "es necesario descargar e instalar el plugin..." y si ya lo tenemos correctamente instalado, aparecen los campos de usuario y contraseña. Entiendo que esto no debería cambiar en absoluto la auditoria, pero por estar seguro.

Gracias de antemano.
Saludo!

dac

1.-  Lo que dices de usar <IP pública>:9090 es correcto
2.-  Depende de si el plugin tiene alguna vulnerabilidad, que el software que mencionas sea capaz de encontrar eso es otra cosa. Pero deberías intentar auditar antes y después de instalarlo, para evitar enmascarar vulnerabilidades con la presencia del plugin y para (intentar) encontrar vulnerabilidades inducidas por el plugin.