Iloo

https://iloo.wordpress.com

Archivos por Etiqueta: ethical

Web Applications Security: www.bancounion.com.bo (1)

Si bien el uso de CMS‘s ayuda y agiliza la publicación de un portal, no todo es tan fácil y simple, es necesario probar muchas cosas, asegurar los datos y la información, hacer pruebas de contenido, seguridad, etc; tomando en cuenta que un portal puede ser una vía de acceso al contenido del servidor , la red de equipos y la información en y detrás de esta.

Por ahora no tengo muchas ganas y tiempo para ir probando esto a detalle, pero haciendo una prueba rápida y simple al portal del Banco Unión S.A., cuya dirección es www.bancounion.com.bo, se tiene:

De aquí:

  • SO: windows, lo más probable NT.
  • Servidor web: Apache.
  • Ruta de instalación del servidor web.
  • CMS: joomla.
  • Un error.
  • Y un administrador distraído.
Anuncios

Web Applications Security: www.mingobierno.gob.bo (1)

Estoy cansado de ir avisando sobre las vulnerabilidades que existen en algunos sitios a sus respectivos administradores, esto porque no recibo ni siquiera un gracias, todo lo contrario, a una persona le hicieron un problema por comunicar algo que envió a este blog, cosa que demuestra que tales administradores son unos mediocres, así que: administradores se jod…

En este caso el sitio en cuestión es el Ministerio de Gobierno del Estado Plurinacional de Bolivia (www.mingobierno.gob.bo) No es necesario hacer un análisis minucioso para ver que el sitio tiene varias deficiencias en su implementación. Entre ellas: El enlace http://www.mingobierno.gob.bo/detalle_noticia.php?id=57 parece vulnerable, si cambiamos y lo dejamos de la siguiente manera: http://www.mingobierno.gob.bo/detalle_noticia.php?id=’, obtenemos un error:

Ya no queda más que hacer tiene un servidor windows con AppServ., vulnerable a SQL Injection y Blind SQL. Ahora el siguiente horror error es de del módulo encargado de la publicación de noticias:

Esta sección simplemente no tiene control de acceso, el nombre de la dirección es la más común, creo que no aprendieron que la seguridad por oscuridad no es seguridad.

Web Applications Security: www.presidencia.gob.bo (2)

Retomando la parte de administración.

Primero: En la sección de Gestionar Documentos.

Se observa un formulario para cargar archivos al servidor pero existe un error gravísimo, se puede cargar al servidor cualquier tipo de archivo (como veremos más adelante).

Recomendación: restringir la extensión y el tipo de archivo a subir al servidor.

Segundo: del punto anterior se puede cargar por ejemplo un shell php:

Recomendación: ver punto 1

Bueno ya teniendo el shell cargado se puede hacer prácticamente todo, cambiar nombres de directorios y archivos, subir y descargar archivos (se puede jugar una buena broma), también tener acceso a las bases de datos, etc, etc.

Lo dicho en el anterior post, el problema de la seguridad en el inicio de sesión se encuentra en la base de datos, así como no pude contactarme con el administrador, voy a arreglar yo mismo este problema, claro no es difícil, solo hay que borrar los registros nulos (espero que el administrador no haya colocado estos datos de manera consciente).

Ahora si iniciamos sesión de nuevo con los datos vacíos tenemos:

Por último y estoy seguro que la parte de inicio de sesión sigue siendo vulnerable a SQL Injection, con más tiempo voy a demostrar esta aseveración…

Web Applications Security: www.presidencia.gob.bo (1)

No se por donde empezar, tengo esto hace bastante tiempo y la verdad son tantas cosas que intentaré ordenar esto lo más que pueda.

En primer lugar quiero aclarar que mande un mensaje al correo del sitio, lamentablemente la dirección (correo@presidencia.gov.bo) no funciona así que no hay nada más que hacer.

Vamos con el Ministerio de la Presidencia del Estado Plurinacional de Bolivia.

Cuya presentación se puede ver en el propio sitio:

El Ministerio de la Presidencia brinda apoyo a la gestión presidencial, mediante la promoción de un nuevo Estado Plurinacional Democrático Participativo, el fortalecimiento en la coordinación con los poderes del Estado, el establecimiento de la gestión pública intercultural, descentralizada, eficiente, transparente y con la participación activa de las organizaciones sociales y los pueblos indígenas originarios campesinos, así como los mecanismos de comunicación y difusión transparente de la Información Gubernamental.

Primero: probando algunos nombres un tanto comunes (info.php, info.php, informacion.php, etc) nos encontramos con el archivo más dañino de todos (el archivo de información):

Esto nos muestra datos importantes que pueden servir de mucho al momento de vulnerar la seguridad del servidor, módulos cargados, nombre del host, versión del servidor apache, etc.

Recomendación: borrar el archivo.

Navegando un poco más también existe el la Dirección de Prensa de Palacio de Gobierno y al ver por la ip (190.129.71.213) se encuentran en el mismo servidor y es aquí donde hay varios puntos débiles en cuanto a seguridad se refiere.

Segundo: uso de marcos (aunque no es una vulnerabilidad como tal).

Recomendación: dejen de usar marcos por favor, si bien esto ayuda bastante al desarrollador (o eso cree) es una molestia para el usuario, ya que no permite guardar correctamente el sitio ni navegar sobre el.

Tercero: ahora si al grano nuevamente probando (y con algo de suerte) se encuentra la dirección de administración (http://comunicacion.presidencia.gob.bo/administrador/) y lo que viene si que no tiene desperdicio.

Al hacer clic directamente al botón “Iniciar sesión” (con los datos en blanco) tenemos… (música misteriosa) el panel de administración!!!

Y que pasa si añadimos algunos datos al formulario de inicio de sesión:

O sea wtf!!!

Recomendación: para esto pueden haber varias razones, pero por lo que puedo suponer es que deben existir algunos datos vacíos en la base de datos entonces hay que borrar estos registros o no se está filtrando correctamente el ingreso de los datos, en este caso puede un error en la implementación del módulo del control del inicio de sesión.

Web Applications Security: www.sicoes.gov.bo (3)

Creo que con esto terminamos, al parecer el SICOES (www.sicoes.gov.bo) no estuvo funcionando por un par de días ya estaba pensando que era para mejorar el sistema pero veo que sigue igual. Ahora veremos parte del sistema encargado de la publicación y manejo de las licitaciones

Si bien podemos ver que el acceso esta restringido por un nombre de usuario y contraseña, como veremos más adelante no todo el sistema esta protegido.

Al revisar un poco el directorio nos encontramos con lo siguiente:

Y es justo aquí donde el sitio esta completamente sin protección:

Ahora las recomendaciones:

  • Si bien se puede proteger el contenedor (php, html, etc) de un archivo swf, esta protección se extiende para el archivo swf, para esto se tiene que hacer otro punto de seguridad obviamente usando ActionScript.
  • Personalmente no recomiendo la mezcla de php y flash, ya que podríamos tener un mejor resultado usando simplemente php y obviamente la velocidad de respuesta es más rápida.
  • Nuevamente recalco que es importante restringir el acceso a todo el sistema se pueden usar sesiones , cookies, etc, y no solo a la página o las páginas de inicio.

Para terminar con el análisis, las pruebas que se realizo al SICOES no fueron grandes hazañas no fueron técnicas de tipo “power ranger”, la verdad fueron muy simples y es un poco preocupante que un sistema donde se manejan millones de dolares y bolivianos no tenga la seguridad mínima para la protección de sus datos.