Iloo

https://iloo.wordpress.com

Web Applications Security: www.presidencia.gob.bo (1)

No se por donde empezar, tengo esto hace bastante tiempo y la verdad son tantas cosas que intentaré ordenar esto lo más que pueda.

En primer lugar quiero aclarar que mande un mensaje al correo del sitio, lamentablemente la dirección (correo@presidencia.gov.bo) no funciona así que no hay nada más que hacer.

Vamos con el Ministerio de la Presidencia del Estado Plurinacional de Bolivia.

Cuya presentación se puede ver en el propio sitio:

El Ministerio de la Presidencia brinda apoyo a la gestión presidencial, mediante la promoción de un nuevo Estado Plurinacional Democrático Participativo, el fortalecimiento en la coordinación con los poderes del Estado, el establecimiento de la gestión pública intercultural, descentralizada, eficiente, transparente y con la participación activa de las organizaciones sociales y los pueblos indígenas originarios campesinos, así como los mecanismos de comunicación y difusión transparente de la Información Gubernamental.

Primero: probando algunos nombres un tanto comunes (info.php, info.php, informacion.php, etc) nos encontramos con el archivo más dañino de todos (el archivo de información):

Esto nos muestra datos importantes que pueden servir de mucho al momento de vulnerar la seguridad del servidor, módulos cargados, nombre del host, versión del servidor apache, etc.

Recomendación: borrar el archivo.

Navegando un poco más también existe el la Dirección de Prensa de Palacio de Gobierno y al ver por la ip (190.129.71.213) se encuentran en el mismo servidor y es aquí donde hay varios puntos débiles en cuanto a seguridad se refiere.

Segundo: uso de marcos (aunque no es una vulnerabilidad como tal).

Recomendación: dejen de usar marcos por favor, si bien esto ayuda bastante al desarrollador (o eso cree) es una molestia para el usuario, ya que no permite guardar correctamente el sitio ni navegar sobre el.

Tercero: ahora si al grano nuevamente probando (y con algo de suerte) se encuentra la dirección de administración (http://comunicacion.presidencia.gob.bo/administrador/) y lo que viene si que no tiene desperdicio.

Al hacer clic directamente al botón “Iniciar sesión” (con los datos en blanco) tenemos… (música misteriosa) el panel de administración!!!

Y que pasa si añadimos algunos datos al formulario de inicio de sesión:

O sea wtf!!!

Recomendación: para esto pueden haber varias razones, pero por lo que puedo suponer es que deben existir algunos datos vacíos en la base de datos entonces hay que borrar estos registros o no se está filtrando correctamente el ingreso de los datos, en este caso puede un error en la implementación del módulo del control del inicio de sesión.

6 Respuestas a “Web Applications Security: www.presidencia.gob.bo (1)

  1. Pingback:Articulo Indexado en la Blogosfera de Sysmaya

  2. 3du4rd1nh0 20/09/2010 en 10:48 PM

    Si pues, a estos señores les defacearon N veces incluso pusieron un captcha en su login creyendo que con eso se terminaban todos sus problemas, y bueno al final creo con la ayuda de alguna mano solidaria lograron arreglar sus dramas

    • Administrador 21/09/2010 en 7:31 AM

      Por lo que señale creo que el problema era el tema de los campos vacíos en la tabla de usuario, cosa que los elimine, espero haber ayudado en algo a los amigos del sitio, hubiera sido bueno por lo menos un “gracias” XD.

  3. Denisse 11/07/2011 en 1:57 PM

    jejejej un “gracias a tí despedimos a alguien” xDDDD

  4. anonimo internet 29/09/2011 en 10:18 AM

    se poqisimo de esta tecnologia, pero si pudieramos aprovechar la inteligencia de quienes ingresaron a este concepto, seria fantastico, el peor error es sancionar, la revolucion real los necesita, para la revolucion sin fronteras ideales, solo me cabe decir que necesario tanta inteligencia para la revolucion.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s