Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Sitios vulnerables de la semana: 6" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
La semana pasada fue el turno de vulnerabildiades de tipo XSS, esta semana será una lista de sitios con vulnerabilidades RFI, XSS y SQL Injection. Los sitios o empresas afectados son:
– Ecored.cl
– iti.cl (https)
– stiport.cl (https)
– Lucylafuenteindo.cl
– latitud90.com
– Maqval.cl
Con “Lucylafuenteindo.cl” intenté comunicarme para solucionar el problema pero luego de corregir parcialmente el problema ni se contactaron conmigo. Ecored.cl parece ser (o fue) una empresa de informatica bastante vieja, nose si aun utillizaran el sitio. Con los otros sitios estoy intentando contactarme.
Para leer mas detalladamente las fallas en cada uno de los sitios lea el articulo completo.
A continuación una lista de los sitios con su vulnerabilidad y su URI vulnerable
Remote File Include:
https://www.ecored.cl/php/a-mensaje-envia.php?foro=[RFI]
https://torpedo.iti.cl/funciones/login.php?mensaje=[XSS]&pagina=[RFI]
https://www.stiport.cl/funciones/login.php?mensaje=[XSS]&pagina=[RFI]
XSS:
https://www.latitud90.com/admin/index.php?mensaje=[XSS]&dia=[XSS]&hora=[XSS]
https://www.maqval.cl/?ver=productos&id=5&cat=[XSS]
SQL Injection:
https://www.maqval.cl/?ver=carrito&a=add&c=1&n=[SQL]
Y por ultimo, una vulnerabilidad bastante peculiar, se trata de Auth Bypass, podremos editar el contenido del sitio con tan solo conocer la ruta de la administración, sin un usuario ni un password. Personalmente, pienso que este tipo de sistemas es una falta de respeto.
Tenemos el sitio https://www.lucylafuenteindo.cl/ donde podemos navegar por su contenido, cuando ingresamos nos redirecciona a https://www.lucylafuenteindo.cl/web y misteriosamente, si nos vamos a /admin, podremos editar el contenido como nosotros queramos, saltandonos cualquier tipo de autentificación que el sitio pudiese haber tenido:
https://www.lucylafuenteindo.cl/web/admin/
Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Sitios vulnerables de la semana: 6" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
julio 11, 2009 a las 4:50 pm
wow, el ultimo una real falta de respeto o desconocimiento (diria aweonamiento) por parte del programador/administrador/diceñador
saludos
julio 16, 2009 a las 9:05 am
el ultimo lo arregló, te respondieron?
julio 16, 2009 a las 1:28 pm
@seth: Hasta al menos dos o tres días despues de que publiqué este post no lo habían arreglado .. ahora veo que le pusieron un login. Mal por ellos, no me respondieron nada, ni los correos, nada.
julio 27, 2009 a las 1:52 pm
Hola, soy la encargada de la parte administrativa de la empresa MaqVal y por casualidad vi estos comentarios respecto a la vulnerabilidad de nuestra página, yo no soy entendida en la materia pero me pondré en contacto con la persona que nos diseño la pagina, gracias y espero sus comentarios.
septiembre 13, 2011 a las 5:15 pm
Pues sigue vulnerable la web veo que no hicieron nada pues acabo de ingresar a la base de datos
septiembre 13, 2011 a las 9:24 pm
OpBolivia: No me sorprenderia que aun estuviesen muchas de estas vulnerabilidades, la verdad es que hicieron oidos sordos a todo lo que les reporté!
marzo 28, 2013 a las 6:58 pm
como descubriste las vulnerabilidades hiciste la aplicacion que escaneo la vulnerabilidad o usaste otra:::soy medio nuevo en esto
abril 11, 2014 a las 2:16 pm
alert();[/color]
abril 11, 2014 a las 2:17 pm
buen intento no!!!