Comentarios en: XSS y SQL Injection en Infobae.com http://www.patriciomolina.com/2010/02/xss-y-sql-injection-en-infobae-com/ Blog de Patricio Molina Mon, 30 Aug 2010 15:12:05 +0000 hourly 1 http://wordpress.org/?v=3.0.1 Por: Diario de un programador » Archivo del blog » Bases de datos, passwords, seguridad y otras yerbas http://www.patriciomolina.com/2010/02/xss-y-sql-injection-en-infobae-com/comment-page-1/#comment-83 Diario de un programador » Archivo del blog » Bases de datos, passwords, seguridad y otras yerbas Wed, 24 Mar 2010 09:04:45 +0000 http://www.patriciomolina.com/?p=307#comment-83 [...] Puedo asumir que como quien tuvo acceso a los passwords los publico en la web, que no accedio al servidor, ya que su intencion era la de hacer algun daño a la imagen de Geelbe y de haber tenido acceso al servidor seguramente hubiera defaceado (ie: cambiado la pagina por algo tipo “hackeado por pepito”) y no solamente publicado los passwords. Seguramente el acceso se dio por algún SQL Injection como el que Patricio descubrió hace unas semanas en Infobae. [...] [...] Puedo asumir que como quien tuvo acceso a los passwords los publico en la web, que no accedio al servidor, ya que su intencion era la de hacer algun daño a la imagen de Geelbe y de haber tenido acceso al servidor seguramente hubiera defaceado (ie: cambiado la pagina por algo tipo “hackeado por pepito”) y no solamente publicado los passwords. Seguramente el acceso se dio por algún SQL Injection como el que Patricio descubrió hace unas semanas en Infobae. [...]

]]> Por: Fernando Cuscuela http://www.patriciomolina.com/2010/02/xss-y-sql-injection-en-infobae-com/comment-page-1/#comment-58 Fernando Cuscuela Sat, 13 Feb 2010 03:34:57 +0000 http://www.patriciomolina.com/?p=307#comment-58 Estimado, desde ya agradezco nos haya hecho llegar este bug de seguridad. Sinceramente no he podido personalmente responderle pero aprovecho la oportunidad para hacerlo. Ya he enviado el problema al equipo de desarrollo para que lo solucionen a la brevedad. Demas esta decir que apenas encontremos la solucion le informaremos (envieme un email con sus datos) a fin de poder hacerle una devolucion al respecto. Nuevamente muchas gracias y a disposicion, Fernando Cuscuela IT Manager Grupo Infobae Estimado, desde ya agradezco nos haya hecho llegar este bug de seguridad. Sinceramente no he podido personalmente responderle pero aprovecho la oportunidad para hacerlo.

Ya he enviado el problema al equipo de desarrollo para que lo solucionen a la brevedad. Demas esta decir que apenas encontremos la solucion le informaremos (envieme un email con sus datos) a fin de poder hacerle una devolucion al respecto.

Nuevamente muchas gracias y a disposicion,
Fernando Cuscuela
IT Manager Grupo Infobae

]]> Por: Angel http://www.patriciomolina.com/2010/02/xss-y-sql-injection-en-infobae-com/comment-page-1/#comment-56 Angel Fri, 05 Feb 2010 20:16:25 +0000 http://www.patriciomolina.com/?p=307#comment-56 Excelente descripción y muy buena la ética de primero avisar, y ante la falta de respuestas, hacerlo publico. Lamentablemente la mayoría de los diarios de Argentina tienen sus versiones online igual de vulnerables, hace no mucho que minutouno.com hacia la validación para acceder a su sitio de administración mediante JavaScript (ergo, dicho en simple: si ponías ver el código veías cual era el password que tenias que tipear para ingresar). Mas me asusta la seguridad de los bancos, la mayoría de las paginas exponen archivos “.include” que se pueden ver como texto plano y que tienen los usuarios que se utilizan para acceder a la base de datos. Y lo que mas me divierte es los que ni siquiera requieren el esfuerzo que invertiste, hagamos un par de búsquedas en Google: http://www.google.com.ar/search?hl=es&safe=off&q=intitle%3A%E2%80%9DEvoCam%E2%80%9D+inurl%3A%E2%80%9Dwebcam.html%E2%80%9D&btnG=Buscar&meta=&aq=f&oq= Ahí podes ver banda de cámaras de seguridad que están abiertas a Internet sin password. Con algo de paciencia podemos ver lo que muchos usuarios comparten en sus oficinas, veamos por ejemplo planillas de Excel: http://www.google.com/search?q=budget+filetype%3Axls Que lindo que es internet. Excelente descripción y muy buena la ética de primero avisar, y ante la falta de respuestas, hacerlo publico.

Lamentablemente la mayoría de los diarios de Argentina tienen sus versiones online igual de vulnerables, hace no mucho que minutouno.com hacia la validación para acceder a su sitio de administración mediante JavaScript (ergo, dicho en simple: si ponías ver el código veías cual era el password que tenias que tipear para ingresar).

Mas me asusta la seguridad de los bancos, la mayoría de las paginas exponen archivos “.include” que se pueden ver como texto plano y que tienen los usuarios que se utilizan para acceder a la base de datos.

Y lo que mas me divierte es los que ni siquiera requieren el esfuerzo que invertiste, hagamos un par de búsquedas en Google:
http://www.google.com.ar/search?hl=es&safe=off&q=intitle%3A%E2%80%9DEvoCam%E2%80%9D+inurl%3A%E2%80%9Dwebcam.html%E2%80%9D&btnG=Buscar&meta=&aq=f&oq=

Ahí podes ver banda de cámaras de seguridad que están abiertas a Internet sin password.

Con algo de paciencia podemos ver lo que muchos usuarios comparten en sus oficinas, veamos por ejemplo planillas de Excel:
http://www.google.com/search?q=budget+filetype%3Axls

Que lindo que es internet.

]]> Por: Ignacion Pironel http://www.patriciomolina.com/2010/02/xss-y-sql-injection-en-infobae-com/comment-page-1/#comment-55 Ignacion Pironel Fri, 05 Feb 2010 20:12:02 +0000 http://www.patriciomolina.com/?p=307#comment-55 Qué buen descubrimiento! Ahora Voy a tratar de tirar un truncate. Total imprimen los queries en comentarios y tengo los nombres de las tablas! Gracias por divulgar esta información! Saludos! Qué buen descubrimiento!
Ahora Voy a tratar de tirar un truncate. Total imprimen los queries en comentarios y tengo los nombres de las tablas! Gracias por divulgar esta información!

Saludos!

]]>