martes, 19 de mayo de 2015

Horrores de Programacion

Me siento muy impresionado de la cantidad de errores  que pueden cometer algunos dessarrolladores web , por ejemplo la otra vez
visitando un sitio web encontré errores tan terribles que merecen ser llamados HORRORES , y tener el protagonismo en este articulo.

Por simple ética no piensa revelar el url de sitio web , ni el nombre de la organización a la que pertenece solo voy decir que se trata de una municipalidad


SQLI (Structured Query Language Injection)

Esta vulnerabilidad es tan conocida como peligrosa  de hecho explotándola en teoría se podría conseguir el control total del sitio web  , la encontré en varias paginas  pero a aquí solo pongo la que encontré , en el formulario de Inicio de Sección

HTMLI (Hypertext Transfer Protocol  Injection)


Este fallo en si no es muy grave , pero de todas maneras un fallo es un fallo , ademas con un poco de ingenio se puede idear un ataque , por ejemplo agregar al formulario la petición de algunos datos extras por ejemplo el numero de tarjeta de crédito



Modificacion de Formularios sin XSS 

Si yo también me sorprendí  , pero esto es posible gracias a una burrada que cometieron los desarrolladores



Panel de ADMINISTRACION al descubierto

Este fallo si que se lleva el premio , la manera mas estúpida de que te Hackeen , dejar el panel de administración accesible a cualquier usuario

Y fue posble a un error en la edición del código fuente , como puede ver invalidaron la linea que pide el loguin , supongo que del usuario administrador.
















Listado de Directorios

Sobre este fallo escribí en otro articulo lo pueden leer en  Porque y Como evitar el Directory Listing en aplicaciones WEB  ,  este fallo  puede ser muy peligroso  , por ejemplo  permite obtener información sobre la plataforma en la que funciona la web en este caso es

 Apache/2.2.15 (CentOS) Server at  ************  Port 80


Programas en PHP al Descubierto

Este parece ser el documento php , que se encarga de realizar las búsquedas , sea como sea no se debería ser posible visualizarlo


En esta oportunidad el análisis que realize fue básico de hecho solo use el navegador web Google Crome , les puede asegurar que un análisis mas profundo revelaria mas fallos.
Espero que si son desarrolladores por favor no vayan a cometer estos errores revisen bien su proyectos antes de entregarlos al cliente

Y por ultimo tengo una gran critica contra aquellos que desarrollaron esta web pero como ya no quiero escribir la voy resumir en una sola imagen