XSS
El cross-site scripting ya es un clásico. Para probarlo coloquen la siguiente línea en el buscador: <script type=”text/javascript”>alert(document.cookie);</script>. Las variantes de uso son practicamente ilimitadas.
SQL Injection
También en el buscador. Colocando un simple apóstrofo (‘) el query se “pincha”. Acá pueden entrar subqueries con instrucciones DROP TABLE o cosas peores.
Includes inseguros
Acá es cuando apagamos la luz, cerramos todo y nos fuimos a la mierda (?)
Un link y una imagen (por si lo arreglan antes de tiempo) valen más que cualquier explicación en palabras. Los entendidos se darán cuenta rápidamente de la gravedad del asunto. Acá hay otro ejemplo donde podés ver el archivo /etc/hosts.
vos que sabes, metete y fijate si tienen algun documento secreto.
Mira el fstab!! http://www.sra.org.ar/web/plantilla1.php?p=/etc/fstab
Pingback: Vulnerabilidades en el sitio web de la Sociedad Rural Argentina « La Página de Horus
Parece que la seguridad se las diseño D’elia! Ineptos es poco. Deberia existir “mala praxis” para quien hizo el sitio.
Pero te equivocas mucho al creer que la SRA es algo porteño y que no representa al campo en el interior, te lo dice alguien que vivió en el campo y del campo.
ni hablar de passwd: http://www.sra.org.ar/web/plantilla1.php?p=/etc/passwd
Justamente, eso escribí en el blog. Fijate el link y la imagen que están en el post.