Ayer me puse a revisar Infobae en búsqueda de agujeros XSS, y grata fue mi sorpresa cuando encontré una falla en el primer intento.
Y eso no es todo. Profundizando un poco más, encontré algo más grave:
- Las líneas de debugging son públicas
- Están imprimiendo consultas de SQL en comentarios HTML
- No están escapando caracteres en las consultas SQL
Este último punto significa que cualquier persona puede realizar inyecciones SQL1, o sea:
- Obtener información sensible de los usuarios registrados en Infobae, como nombres de usuario, números de DNI, direcciones de correo electrónico, contraseñas (si no están encriptadas o si utilizan hashes md5 reversibles2), etc.
- Modificar información del diario, como el título de la portada principal (un amigo me sugirió que ponga “Encontraron las manos de Perón”)
- Vaciar (TRUNCATE) o eliminar (DROP) tablas y bases de datos completas.
Quise contactarme con ellos, pero la página de contacto del diario no anda, así que les envié un mail con una descripción del problema (nunca me contestaron). Para que sepan: pasaron 24 horas y los agujeros no fueron parcheados.
1 – Es posible que utilicen usuarios con jerarquía de privilegios, aunque lo dudo.
2 – “Recently, a number of projects have created MD5 rainbow tables which are easily accessible online, and can be used to reverse many MD5 hashes into strings that collide with the original input, usually for the purposes of password cracking” (Wikipedia)
Qué buen descubrimiento!
Ahora Voy a tratar de tirar un truncate. Total imprimen los queries en comentarios y tengo los nombres de las tablas! Gracias por divulgar esta información!
Saludos!
Excelente descripción y muy buena la ética de primero avisar, y ante la falta de respuestas, hacerlo publico.
Lamentablemente la mayoría de los diarios de Argentina tienen sus versiones online igual de vulnerables, hace no mucho que minutouno.com hacia la validación para acceder a su sitio de administración mediante JavaScript (ergo, dicho en simple: si ponías ver el código veías cual era el password que tenias que tipear para ingresar).
Mas me asusta la seguridad de los bancos, la mayoría de las paginas exponen archivos “.include” que se pueden ver como texto plano y que tienen los usuarios que se utilizan para acceder a la base de datos.
Y lo que mas me divierte es los que ni siquiera requieren el esfuerzo que invertiste, hagamos un par de búsquedas en Google:
http://www.google.com.ar/search?hl=es&safe=off&q=intitle%3A%E2%80%9DEvoCam%E2%80%9D+inurl%3A%E2%80%9Dwebcam.html%E2%80%9D&btnG=Buscar&meta=&aq=f&oq=
Ahí podes ver banda de cámaras de seguridad que están abiertas a Internet sin password.
Con algo de paciencia podemos ver lo que muchos usuarios comparten en sus oficinas, veamos por ejemplo planillas de Excel:
http://www.google.com/search?q=budget+filetype%3Axls
Que lindo que es internet.
Estimado, desde ya agradezco nos haya hecho llegar este bug de seguridad. Sinceramente no he podido personalmente responderle pero aprovecho la oportunidad para hacerlo.
Ya he enviado el problema al equipo de desarrollo para que lo solucionen a la brevedad. Demas esta decir que apenas encontremos la solucion le informaremos (envieme un email con sus datos) a fin de poder hacerle una devolucion al respecto.
Nuevamente muchas gracias y a disposicion,
Fernando Cuscuela
IT Manager Grupo Infobae
Pingback: Diario de un programador » Archivo del blog » Bases de datos, passwords, seguridad y otras yerbas