El rincón de Zerial

Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio

Mostrar menú Ocultar menú

Etiquetalocal file include

Acceso al codigo fuente del Banco Santander Chile

diciembre 27, 2011 /

Ya he publicado algunas vulnerabilidad que afectan a los clientes del Santander, esta vez escribiré sobre una vulnerabilidad que afecta directamente al Banco y que permite al atacante obtener el codigo fuente de la banca. El atacante puede navegar por los directorios en busca de los archivos “asp” y descargar el archivo, teniendo acceso al codigo fuente del sistema.

Se trata de una vulnerabilidad Local File Include + Directory Traversal = Source Code Disclosure, solo debemos modificar el valor de una variable de la URL para obtener el archivo que necesitemos. Se trata de un fallo basico e irresponsable que ningun alto estandar de seguridad permite.

Lo curioso es que segun el aviso de seguridad oficial del banco santander, hay una empresa “lider” en seguridad informática que les hace auditoría periodica:

Cierto, parece un chiste.
Seguir leyendo

Vulnerabilidades CRíTICAS en sitio web del Ministerio de Ciencia, Tecnología e Innovación Productiva (MinCyT – Argentina)

agosto 10, 2009 /

Hace un par de semanas descubrí varias vulnerabilidades críticas en el sitio web del ministerio de ciencia y tecnología de Argentina, me comuniqué con gente de .ar para que intentara comunicarse con gente encargada para solucionar los problemas pero no obtuvo respuesta, por lo que decido hacerlas públicas.

mincyt-ar

Las vulnerabilidades encontradas corresponden a las del tipo Local File Include (LFI), Remote File Include (RFI) y Remote Code Execution (RCE)

Seguir leyendo

© 2024 El rincón de Zerial

Tema por Anders NorénSubir ↑