Iloo

http://iloo.wordpress.com

Web Applications Security: www.sicoes.gov.bo (1)

Voy a comenzar con una nueva sección, me avocaré principalmente a las aplicaciones que interactúan en el país que me encuentro ya que es una necesidad contar con aplicaciones que sean seguras y fiables.

La primera aplicación a ser analizada (fue) es el Sistema de Contrataciones Estatales (SICOES) cuyo sitio en internet es http://www.sicoes.gov.bo, desarrollado por la Dirección General de Sistemas de Gestión de Información Fiscal (http://www.sigma.gov.bo).

El SICOES brinda información de las entidades del sector público referida a: procesos de contratación; solicitudes de propuestas; adjudicación y contrato de bienes, obras, servicios generales y servicios de consultoría; recursos administrativos interpuestos; contrataciones por excepción, etc…” (http://www.sicoes.gov.bo/paginicio/info.html)

Cabe mencionar que envié mensajes a las siguientes direcciones: convocatorias@sicoes.gov.bo, consultas@sicoes.gov.bo, sugerencias@sicoes.gov.bo, sugerencia@sigma.gov.bo, mencionando las vulnerabilidades que encontré así como también las sugerencias para corregir lo antes mencionado. No recibiendo respuesta y al ver que el sitio sigue con las vulnerabilidades (que son importantes) lo voy a hacer por este medio.

Lo primero para ir probando el sitio es buscar una dirección vulnerable, en el sitio hay bastantes pero busquemos la sección principal que es referente a las convocatorias: http://sicoes.gov.bo/general/frames.php?direccion=../contrat/procesos.php.

Sobre esto se puede decir mucho pero principalmente tres puntos importantes:

  • El uso de marcos dificulta la navegación y ahí ya podemos explotar (como veremos más adelante) algunos errores de programación.
  • Encontramos un Full Path Disclosure, lo encontramos en: http://sicoes.gov.bo/general/frames.php?direccion=”.
  • Una sugerencia es el de NO usar menús flash esto denota una falta de conocimiento y experiencia por parte de los desarrolladores, ya que es más fácil poner un menú flash que se invoque de todas las páginas que hacer uno para cada página, pero esto se soluciona haciendo un solo menú y llamándolo con: include(‘menu.htm’), en el mismo lenguaje en el que esta hecha la aplicación, PHP.

Continuemos, la página que esta “enmarcada” es en realidad: http://www.sicoes.gov.bo/contrat/procesos.php, aquí hay varios errores tanto de los diseñadores y programadores.

  • Parte de la sentencia SQL es completamente visible, con esto ya es más fácil ejecutar un SQL Injection.

  • Si introducimos http://iloo.wordpress.com (más las comillas) en uno de los campos input yo lo haré en el campo Entidad claramente vemos que se ve un Cross site scripting a demás de seguirse viendo parte del código SQL.

Un ejemplo del porque no usar marcos en http://sicoes.gov.bo/general/frames.php?direccion=../paginicio/contactenos.php:

Para terminar el formulario que aparece en la sección de Contáctenos no funciona a demás de que no valida los datos introducidos a lo que se suma otro punto de vulnerabilidad. Ya que son muchas las vulnerabilidades que pude encontrar voy a dividir la entrada la siguiente parte estará más interesante ya que son datos del servidor los que se tocarán.

About these ads

22 Respuestas a “Web Applications Security: www.sicoes.gov.bo (1)

  1. Carlos Mendoza 05/01/2010 en 4:26 PM

    Urgente quiero saber el numero de convocatoria y el CUCE de fecha 30/12/2009 para asistente Cites del Ministerio de Medio Ambiente y Aguas

  2. susana ari 15/01/2010 en 12:55 PM

    como puedo mandar mi solicitud para encontrar trabjo? soy educadora psicopedgoga

    • Administrador 15/01/2010 en 7:16 PM

      Quiere enviar su solicitud aquí?, lo siento pero no estoy en la posibilidad de contratar a nadie.

      Pruebe enviando su solicitud a la institución en la que desea trabajar.

  3. Richard Quiroz M 27/01/2010 en 2:32 PM

    En el inciso de requerimiento de personal, uno como puede mandar su C.V. y en la pagina de solisitud de empleo coloquen los pasos a seguir, la respuesta que da a la anterior persona noes la adecuada ya que a usted no se le esta pidiendo trabajo sino que le guie a uno los pasos a seguir

    • Administrador 27/01/2010 en 6:33 PM

      Gracias por la aclaración, eso parece a primera vista que pida ayuda (y tal vez lo sea), pero al ver la cantidad de mensajes que me llegan pidiendo trabajo, pensando que yo trabajo en o para el SICOES pues decidí aclarar que NO es así y claro lo hice mediante la respuesta del mensaje.

  4. Jeanete Yanarico Maquera 03/03/2010 en 9:33 PM

    Disculpe por molestar pero quisiera saber si se lanzo la convocatoria para la consultoria del PENNT II de Sedeges

  5. Jorge Llanque Torrez 08/03/2010 en 2:09 PM

    Deseo trabajar en una de las instituciones publicas en el `+area de educacion soy egresado y estoy realizanbdo mi tesis

  6. Rene L Mamani F 29/03/2010 en 10:28 AM

    mi nombre es Rene, de profecion Ing.Electrico, y solicito una oportunidad de trabajo

  7. Mandrake 02/07/2010 en 9:39 AM

    Que paso todos piensas que eres una especie de call center??? jejeje.. Mal por el sicoes..deberia poner gente que en verdad sabe hacer su trabajo

  8. Mario Duran 21/07/2010 en 10:44 PM

    gracias… escribire sobre el tema…

  9. ana maria flores 29/07/2010 en 11:50 AM

    por favor me gustaria saber si hay una pagina especifica en el sicoes sobre convocatorias para diferentes profesiones o es en general, gracias

    • Administrador 29/07/2010 en 2:46 PM

      Y vuelve la burra al trigo… no trabajo, ni ofrezco soporte, ni información alguna a cerca de empleos ni nada concerniente al SICOES

  10. HK 01/08/2010 en 1:42 PM

    haha, es increíble q la mayoría de los q comentó no entendió de q se trataba el artículo, y bueno, poner en evidencia esas falencias está bien ya que no creo q vayan a hacer algo hasta q les pase algo malo (como tooodas las instituciones gubernamentales). Saludos

    • Administrador 01/08/2010 en 1:50 PM

      La verdad es para no creer que las personas no lean o no entiendan el contexto del post, creo que no habla muy bien de esas personas.

      De todas maneras gracias por comentario…

  11. cinthia 13/10/2010 en 7:35 PM

    hola mi nombre es francisca nesesito trabajo de enpedrada

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 33 seguidores