Iloo

https://iloo.wordpress.com

Web Applications Security: www.sicoes.gov.bo (2)

Continuando con el análisis del Sistemas de Contrataciones Estatales, SICOES (www.sicoes.gov.bo).

Voy a mostrar las vulnerabilidades que encontré y las recomendaciones para subsanar estas:

Vulnerabilidad: el nombre del archivo de conexión a la base de datos es muy obvio (conexion4.php), el cual está ubicado en: http://sicoes.sicoes.gov.bo/lib/.

Recomendación: cambiar el nombre, la ubicación y los permisos al archivo.

Vulnerabilidad: funciones (procedimientos) de la base de datos visibles en: http://sicoes.sicoes.gov.bo/lib/funciones.sql. Esta vulnerabilidad ayudaría a realizar un SQL Injection.

Recomendación: borrar el archivo, moverlo o renombrarlo y si fuera necesario almacenar los procedimientos dentro el gestionador de bases de datos.

Vulnerabilidad: error crítico en el archivo: http://sicoes.sicoes.gov.bo/lib/descargar.php, ya que permite descargar cualquier archivo del servidor (Source Code Disclosure).

  • Código de ejemplo en el servidor:

$nombre = $_GET[‘archivo’]; // Nombre del archivo

readfile($nombre);

  • Código sugerido:

$nombre = $_GET[‘archivo’]; // Nombre del archivo
$folder = ‘archivos_permitidos’;
$enlace = $folder.’/’.$nombre;
..
readfile($enlace);

Por ejemplo, hacemos una prueba con el archivo de conexión a la base de datos conexion4.php:


Vulnerabilidad: del punto anterior tenemos un Path Traversal, por ejemplo podemos obtener el siguiente archivo del sistema operativo: /etc/passwd

Recomendación: /bin/false a diferencia de /sbin/nologin añade un restricción extra como es la conexión mediante ftp. Y tomar en cuenta la recomendación del punto 3.

Aún sigue siendo mucho lo que he podido encontrar, así que nuevamente voy a dividir en una tercera entrada lo que viene que será temas de seguridad en el sistema que controla la publicación de las licitaciones.

4 Respuestas a “Web Applications Security: www.sicoes.gov.bo (2)

  1. gonzalo 11/02/2010 en 4:30 PM

    hola quisiera saber como debeo hacer un informe de proyecto cuando el proyecto ya se va a ejecutar

  2. 3du4rd1n0 10/12/2010 en 9:04 PM

    Que pelotuda la gente por los comentarios de este post del sicoes…. necesito trabajo??, como hacer informe?? q les pasa….

    En buen buen trabajo lo que hiciste estimado… aunque veo q poco o nada se hizo en ese sitio por su seguridad..aun estan vulnerables …pa muestra un boton

    http://entidades.sicoes.gob.bo/lib/

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s