Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Vulnerabilidad SQL Injection + Cross-Site Scripting en sitio web del CLCERT" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
Según el propio sitio web:
El CLCERT tiene como misión monitorear y analizar los problemas de seguridad de los sistemas computacionales en Chile, y reducir la cantidad de incidentes de seguridad perpetrados desde y hacia éstos.
Si bien CLCERT es una “organización” que busca mejorar la seguridad, creo que es impresentable que tengan publicados sitios web con vulnerabilidades tan basicas.
Esta organización da cursos y diplomados relacionados a la “Seguridad Computacional” o como la mayoría los conoce “Cursos de Seguridad Informática” o simplemente “Cursos de Seguridad”. Todas las personas que han pasado por estos cursos se pueden ver en la URL https://capacita.clcert.cl/dir/ la cual con tiene una vulnerabilidad de SQL Injection, posibilitando al atacante obtener más información sobre las personas asistentes a los cursos o bien obtener información del servidor.
La vulnerabilidad SQL Injection se produce al no parsear los parametros pasados por GET mediante la variable “apellido”, “id” y “fecha” del archivo index.php. Y la XSS se produce a partir de esta misma.
Si navegan por el sitio y comienzan a ver las URL se darán cuenta de forma fácil que parámetro o url es la vulnerable. Por ejemplo, si nos situamos por encima de una letra, podemos ver la url
Deducimos que podemos inyectar código sql mediante la variable “apellido“.
Proof-of-Concept
1. SQL Injection
Lo primero que haremos será inducir la aplicación al típico error de sintáxis añadiendo un caracter ” ‘ ” al valor de la variable mediante la URL https://capacita.clcert.cl/dir/?apellido=%27 y obtenemos el error esperado con la información deseada:
Podemos ver la consulta completa incluyendo el nombre de la tabla y los campos, con esto nos facilitamos la inyección de sql.
Teniendo todo esto en consideración, podemos completar la query agregando un UNION con los datos que queramos saber, en esta prueba de concepto obtendremos el usuario actual con el que se está conectando y la version del motor de base de datos, usando las funciones user() y version() propias del MySQL.
Obteniendo en los campos correspondientes la información solicitada
Con este simple sql injection ya tenemos información relevante. Usuario “diplomado” y version 4.1.22 del mysql.
2. Cross-Site Scripting
Cuando logramos que la aplicación muestre un error de sintaxis, podemos ver que nos muestra literalmente la consulta incluyendo lo que nosotros agregamos, por ejemplo si agregamos “‘ esta es una prueba” veremos lo siguiente:
Query failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘esta es una prueba%’‘ at line 1Executed query: select apellidos, nombres, fecha , id from users where apellidos like ” esta es una prueba%’
Por lo tanto, si en lugar de “esta es una prueba” ingresamos un codigo javascript, será ejecutado:
Es increible como las organizaciones que “luchan” por la seguridad son inseguras. Errores tan basicos, tan simples … Uno se pregunta si realmente la gente que entra en sus cursos salen capacitadas y hasta que punto son capaces de encargarse de la seguridad informática de una empresa o institución.
La vulnerabilidad fue reportada el 6 de Julio y solucionada el dia 7 de Julio.
Links
Reporte XSS en Secureless
Reporte SQL-Injection en Secureless
Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Vulnerabilidad SQL Injection + Cross-Site Scripting en sitio web del CLCERT" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
julio 14, 2011 a las 10:09 am
en casa de herrero……
agosto 3, 2011 a las 6:38 am
También me he topado con estos desastres de seguridad, en empresas de seguridad, pero no nacionales. Felicitaciones 😀
agosto 4, 2011 a las 1:08 am
Acabo de descubrir tu blog, y aparte de encontrar un lugar donde reírme de las incompetencias de los programadores detrás de muchos sitios chilenos, te felicito por tu labor de buscar estas fallas de seguridad y reportarlos de buena forma a los responsables, en vez de andar haciendo pelotudeces 😉 sos grande
mayo 24, 2013 a las 1:20 am
buena pero no es asi xD
diciembre 9, 2013 a las 5:35 am
holaaas s
diciembre 9, 2013 a las 5:37 am
Equipo de Seguridad Hack GT
= [Hacked] =
= [Por Sonyc] =
[The – Best – Hacker – de – Guatemala]
admin Disculpa atacó hacker. Sonyc