Lista de sitios vulnerables de cada semana
Antes de mostar cualquier cosa quiero dejar en claro que todo lo que leerán de aquí en adelante es sólo con fines educativos, si tu eres un hacker malo que le encanta hacer cosas feas a los sitios con este tipo de fallas tan estúpidas comunes, este documento no es para ti, asi que vete maldito delincuente hacker inescrupuloso.
Habien dicho todo esto, llego el momento de la acción. Wanna rock?
Hace un par de semanas descubrí varias vulnerabilidades críticas en el sitio web del ministerio de ciencia y tecnología de Argentina, me comuniqué con gente de .ar para que intentara comunicarse con gente encargada para solucionar los problemas pero no obtuvo respuesta, por lo que decido hacerlas públicas.
Las vulnerabilidades encontradas corresponden a las del tipo Local File Include (LFI), Remote File Include (RFI) y Remote Code Execution (RCE)
Ya llevo un mes publicando sitios vulnerables todas las semanas, he publicado mas de 20 sitios con distintas vulnerabilidades, esta semana será la última ya que me he involucrado, junto a otras personas, en un proyecto un poco más ambicioso en el que haré una publicación más masiva involucrando muchos más sitios de mayor importancia.
Esta semana mostraré sólo dos sitios, el que corresponde al ISP Chileno VTR y al sitio web de la Bolsa de Santiago.
Ambos sitios tienen una vulnerabilidad del tipo XSS que nos permite usar la identidad del sitio para distintos fines.
Sin más, los sitios y URI vulnrables son:
https://wsc.vtr.net/proveedores/main.asp?mensaje=[XSS]
https://ppwww.bolsadesantiago.com/error.asp?mensaje=[XSS]
Para seguir con la tradición, acá están los 5 sitios vulnerables de la semana.
Tres de ellos con vulnerabilidades XSS y uno con SQL Injection, el quinto tiene ambas. Generando un error mediante inyeccion de codigo mysql es posible explotar la vulnerabilidad XSS.
Corresponden a las vulnerabildiades SQL Injection y XSS y los sitios son los siguientes:
Una vulnerabilidad LFI o Directory Transversal puede comprometer todo un servidor, no solo la cuenta del sitio que tiene la vulnerabilidad. Estas vulnerabilidades ocurren cuando se parsea una variable y el contenido de ésta es incluido o leído directamente, ya sea usando una función “include”, “fread”, “file”, etc.
Son vulnerabilidades muy comunes y comprometen a todo el servidor, si un atacante con las capacidades necesarias puede obtener acceso al servidor hatsa ganar root.
Les voy a mostrar cómo hacerlo y el impacto que puede llegar a tener.
El sitio elegido es el de la “Ilustre Municipalidad de Castro”, sitio hecho en ASP puaj.
Antes de publicar todo esto, me di el trabajo de comunicarlo a los encagrados del sitio web sin obtener respuesta, por lo que asumo que no les interesa la seguridad y asi como yo, cualquier persona podría hacerle algo al sitio web o al servidor, asi que me di la libertad de tomar este sitio como ejemplo didactico.
Los sitios vulnerables de esta semana correspnden a 5, lo inaceptable es que 3 de ellos pertenecen a la Universidad San Sebastián. Esta semana semana expondré sitios con vulnerabilidades de SQL Injection, XSS y Path Disclosure, los sitios afectados son:
© 2024 El rincón de Zerial
Tema por Anders Norén — Subir ↑
Comentarios recientes