visitando un sitio web encontré errores tan terribles que merecen ser llamados HORRORES , y tener el protagonismo en este articulo.
Por simple ética no piensa revelar el url de sitio web , ni el nombre de la organización a la que pertenece solo voy decir que se trata de una municipalidad
SQLI (Structured Query Language Injection)
Esta vulnerabilidad es tan conocida como peligrosa de hecho explotándola en teoría se podría conseguir el control total del sitio web , la encontré en varias paginas pero a aquí solo pongo la que encontré , en el formulario de Inicio de Sección
HTMLI (Hypertext Transfer Protocol Injection)
Este fallo en si no es muy grave , pero de todas maneras un fallo es un fallo , ademas con un poco de ingenio se puede idear un ataque , por ejemplo agregar al formulario la petición de algunos datos extras por ejemplo el numero de tarjeta de crédito
Modificacion de Formularios sin XSS
Si yo también me sorprendí , pero esto es posible gracias a una burrada que cometieron los desarrolladores
Panel de ADMINISTRACION al descubierto
Este fallo si que se lleva el premio , la manera mas estúpida de que te Hackeen , dejar el panel de administración accesible a cualquier usuario
Listado de Directorios
Sobre este fallo escribí en otro articulo lo pueden leer en Porque y Como evitar el Directory Listing en aplicaciones WEB , este fallo puede ser muy peligroso , por ejemplo permite obtener información sobre la plataforma en la que funciona la web en este caso esApache/2.2.15 (CentOS) Server at ************ Port 80
Programas en PHP al Descubierto
Este parece ser el documento php , que se encarga de realizar las búsquedas , sea como sea no se debería ser posible visualizarlo
Espero que si son desarrolladores por favor no vayan a cometer estos errores revisen bien su proyectos antes de entregarlos al cliente
Y por ultimo tengo una gran critica contra aquellos que desarrollaron esta web pero como ya no quiero escribir la voy resumir en una sola imagen
No hay comentarios. :
Publicar un comentario