Comentarios en: Vulnerabilidades CRíTICAS en sitio web del Ministerio de Ciencia, Tecnología e Innovación Productiva (MinCyT – Argentina)

Por: Zerial

Zerial — Mon, 17 Aug 2009 04:09:03 +0000

@Buanzo: Si, si lees el post que escribi dejo bien en claro que antes de poublicarlo, lo que hice fue reportarlo e intentar ponerme en contacto con la gente de MinCyT. Lo hice a traves de un amigo argentino y lo que ellos respondieron fue (luego de 1 o 2 dias que publique el articulo): “Mincyt es un sitio publico por lo que lo de listar directorios y archivos no tienen ningun problema”

Por: Buanzo

Buanzo — Sun, 16 Aug 2009 22:36:05 +0000

Che, pero vos intentaste comunicarte con la gente del MinCyT antes de publicar este informe, no? Digo, porque si no hiciste eso… no veo por que a la gente del MinCyT le hubiera interesado contactarse con vos y si dejar un simple comentario en el sitio de seguinfo.
saludos.

Por: Zerial

Zerial — Fri, 14 Aug 2009 01:24:15 +0000

Cristian: Gracias por la información. Concuerdo contigo, al parecer no se han querido poner en contacto conmigo, en fin,

saludos

Por: Cristian

Cristian — Thu, 13 Aug 2009 22:55:36 +0000

Hola Zerial,

Luego de la publicación en Segu-Info, ArCERT se puso en contacto con nosotros para informarnos qué había sucedido.

Se puede leer la respuesta en: http://blog.segu-info.com.ar/2009/08/vulnerabilidades-criticas-en-el-sitio.html

Al parecer han decidido no ponerse en contacto contigo.

Cristian

Por: Cada loco con su blog, no? » Blog Archive » Ciencia y Tecnica pero no para todos

Thu, 13 Aug 2009 16:23:04 +0000

[...] Si, creo que ese debe ser el caso, sobre todo, viendo la grave vulnerabilidad descubierta en el sitio de este ministerio. [...]

Por: El culpable equivocado « Mundo Binario

El culpable equivocado « Mundo Binario — Thu, 13 Aug 2009 00:02:20 +0000

[...] Hoy leo una noticia en el blog de Segu-Info. Resulta que un muchacho, Zerial, “ha encontrado vulnerabilidades críticas en el sitio web del Ministerio de Ciencia, Tecnología e Innovación Productiva (MinCyT – [...]

Por: Zerial

Zerial — Wed, 12 Aug 2009 18:53:07 +0000

@Fido_Dido: Si, deja logs en el server de mincyt, como una peticion GET en los logs de accesos de apache. Recomiendo usar anonymouse para conectarse a mincyt y luego saltar a otra web.

saludos

Por: Fido_Dido

Fido_Dido — Wed, 12 Aug 2009 18:39:04 +0000

Tengo una duda respecto a navegar “anonimamente” utilizando la web vulnerable…, La navegación anónima deja logs en el server?

Por: slackUser

slackUser — Wed, 12 Aug 2009 15:37:05 +0000

ja !!! y si esa gente que no sabe nada del tema esta entan en esos cargos a donde iremos a parar …..

Por: Zerial

Zerial — Wed, 12 Aug 2009 14:27:00 +0000

@Javier: No lo han solucionado.

Mira
http://mincyt.gov.ar/index.php?contenido=http://www.google.com%00

Por: Javier

Javier — Wed, 12 Aug 2009 13:59:21 +0000

Por suerte ahora parece que lo solucionaron.
Tendrían allow_url_fopen en On (default) en php.ini?

Por: d3m4s1@d0v1v0

d3m4s1@d0v1v0 — Wed, 12 Aug 2009 11:42:27 +0000

Realmente muy feo, es una pena que los organismos gubernamentales no implementen un mínimo de seguridad, éste error es de los más feos… en fin, que va ser >=(

Por: Panic

Panic — Tue, 11 Aug 2009 20:02:10 +0000

Oh viejo, esto no puede ser posible. buena publicación Cerealbar