El rincón de Zerial

Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio

Mostrar menú Ocultar menú

Problemas de seguridad en sitio del Observatorio Latinoamericano de Seguridad Ciudadana

junio 29, 2009 /
Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "Problemas de seguridad en sitio del Observatorio Latinoamericano de Seguridad Ciudadana" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.

Una véz más, un sitio chileno compromete su seguridad por falta de validación en la entrada de datos o argumentos pasados por url. Es el turno del sitio del web Observatorio Latinoamericano de Seguridad Ciudadana (OLSC) quien sufría de un fallo de seguridad importante al poder acceder a cualquier fichero del servidor, incluyendo los códigos fuentes de los scripts php.
Gracias al script download.php que nos permitia descargar cualquier fichero fue posible obtener información sensible como:

Información de conexion a la base de datos

Como es de costumbre, me comuniqué con el encargado de este sitio web y le comenté el problema, él se mostró muy interesado y solucionó de inmediato el problema, su respuesta fue:

Ya hice el cambio que me recomendaste para permitir sólo descargas desde el directorio files. Te agradezco sinceramente el consejo que me diste, no sólo porque ha evitado un problema para la gente de olsc, sino también la gente de otros sitios que he hecho donde también he usado esta función.

La URL vulnerable era la siguiente es https://www.olsc.cl/download.php?f=../../../../fichero/a/obtener, la cual fue removida.

Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "Problemas de seguridad en sitio del Observatorio Latinoamericano de Seguridad Ciudadana" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.

Categorías: Hacking, Seguridad

Etiquetas: , , ,

« GoldenData: Una empresa en la que NO se puede confiar Al menos 5 vulnerabilidades semanales »

2 comentarios

  1. d3m4s1@d0v1v0

    junio 30, 2009 a las 9:15 am

    Muy interesante tu blog Zerial, lo sigo por rss hace algunos días y me gustó. Está bueno que uses la filosofía informar al autor antes de difamar.
    Saludos!

  2. Nozelf

    julio 1, 2009 a las 7:21 am

    Hey! que te paguen por el asesoramiento… ya tendrías un buen dinero!

Los comentarios están cerrados.

© 2024 El rincón de Zerial

Tema por Anders NorénSubir ↑