#full path disclosure

Vulnerabilidades reportadas y corregidas en sitio web ESET Latinoamerica

El fin de semana recien pasado, nos juntamos en el laboratorio en una "hacking night" analizando vulnerabilidades web de varios sitios, entre ellos estuvo el de ESET Latinoamerica. La vulnerabilidades encontradas fueron del tipo "descubrimiento de…

Multiples vulnerabilidades en sitio web de Terra

Vulnerabilidades del tipo XSS, SQL Injection y Full Path Disclosure tiene el sitio web de Terra Networks Chile, estas vulnerabilidades las encontré el Sábado 25 de Diciembre y reportada el 27. Las URL vulnerables corresponden al buscador de terra:…

Sitios web de candidatos presidenciales al descubierto: FREI

El sitio de Eduardo Frei está hecho en Drupal, un CMS (o CMF) libre que podemos descargar y examinarlo, para saber cómo trabaja, directorio de módulos o plugins, themes, etc. Pero basta con leer el código fuente del sitio para saber la ubicación de…

FPD en Wordpress no es considerado un error

Más Full Path Disclosure en WordPress y sin solución

Hace unos días publiqué un artículo sobre varios plugins que nos permitian ver el directorio completo de la instalación de wordpress (full path disclosure). Luego de esta publicación de una discusión en un hilo de la lista en full disclosure, me…

Cómo validar correctamente la descarga de un archivo en php

Este post es debido a un correo que recibí preguntando como evitar el full path disclosure y el directory transversal desde un fichero php que realiza descargas. El error que plantearé a continuación es muy común en muchos sistemas web y ya he…