-
1
Postgrado: Seguir estudiando o no, he ahí el dilema -
2
Lo que no sabías de la navidad
-
2
Sangakoo: La red social para aprender matemáticas -
1
Breve historia del almacenamiento de datos -
1
Noticia: Construye tu propia cápsula de rescate!!! -
1
Sesiones cortas de ejercicios
-
2
Pirámide de Zoser -
1
¿Cómo ser el primero de la clase?
-
2
Milagro de los 33 mineros chilenos es Trending Topic en Twitter
-
2
Estoy aquí
Patrón de vulnerabilidades en Link Colombia
http://daw-labs.com/patron-de-vulnerabilidades-en-link-colombia/?utm_source=rss&utm_medium=rss&utm_campaign=patron-de...
Un patrón de vulnerabilidades (bugs) es un modelo por el cual la mayor parte de las aplicaciones webs desarrolladas por una empresa comete un descuido en su programación dejando en él una vulerabilidad, sea ésta una Inyección SQL (SQLi) o cualquier otra, lo cual deja a los sitios webs que las usen con un grave fallo de seguridad y por lo tanto si éste error llegara a ser aprovechado por una cualquier persona, le permitiría acceder completamente al sistema.
Una de las empresas colombianas dedicadas al desarrollo y creación de sistemas de gestión de contenido que sigue uno de éstos patrones es Link Colombia, ya que la gran mayoría de los sitios webs desarrollados por ellos o en los cuales se usa su sistema es vulnerable a SQLi.
¿Qué es Inyección SQL (SQLi)?
La Inyección SQL (SQLi) es una vulnerabilidad enfocada a nivel web la cual radica en el error en la filtración de las variables o datos introducidos por el usuario, y que si se explota correctamente permite al atacante acceder al sistema.
SQLi en Link Colombia
Como anteriormente he dicho, los sistemas de gestión de contenido o sitios webs desarrollados por ésta empresa tienen un gran fallo, y es que muchos de ellos son vulnerables a Inyección SQL.
Para demostrar dónde radica uno de sus errores en el sistema de contenido, decidí explotar un web desarrollada por ellos, obviamente se ha avisado con anterioridad que la misma es vulnerable a éste ataque.
Empezando navego por el sitio para dar con alguna de las URLs que hacen peticiones a la BD, y me encuentro con la típica de noticias, siendo ésta algo así:
index.php?p=20&nt=749
p = La variable que muestra la página (en ésta situación: Noticias) y en algunos casos no es directamente vulnerable.
nt = En éste caso es la variable vulnerable de la noticia y pertenece a la página especifícada en la variable anterior, hay que aclarar que dependiendo del valor de la variable p cambia el valor de la variable auxuliar.
Éste sistema está implementado en varios sitios y todos o la gran mayoría mejor dicho, son vulnerables a éste ataque, por lo cual el error viene desde el núcleo.
Con ésto se puede demostrar que si se comete un «leve» descuido (Lo digo porque la solución es prácticamente fácil) en la programación y no se corrige a tiempo, todas las demás aplicaciones quedarán con el mismo fallo, aún así el sistema sea parcialmente diferente.
Artículos relacionados sobre Patrón de vulnerabilidades en Link Colombia
-
0
Capcom enseña sus cartas en el “Gamers Day” -
0
“Downloadable Content”: ¿El timo de la estampita versión videoconsola?
-
0
Wapiti – Web application vulnerability scanner
-
0
Fantasía medieval de dimensiones épicas en “Dragon’s Dogma”
-
0
Prepárate para perder la cabeza, llega “NeverDead” a nuestras consolas
hace 548 dias, 4 horas y 16 minutos
La de veces que me ha ayudado el SQLi cuando se me ha olvidado una contraseña en muchos sistemas...
Enviar mensaje privado- Melocius: Artículos / Directorio Social / Directorio / Blog / RSS / Ayuda / Buscar /
- Aviso legal: Términos del servicio / Sobre nosotros / Contacto /