domingo, 16 de junio de 2013

Inyectando Un poco de tu propia medicina

Inyectando Un poco de tu propia medicina

Resulta que tratando de hacer una consulta en la web de esta obra social/prepaga me encontre con un error sql, y ya saben lo que pasa cuando alguien que le apasiona la seguridad informatica ve un error de este tipo no?


Pues... manos a la obra.

 Accord Salud en jaque, se le aviso 2 veces, supuestamente arreglaron el problema, pero... tras verificar otras url's, el sitio, seguia siendo vulnerable a ataques del tipo sql inyection, asique... hora de publicar!

Un poco de escaneo, unas simples prubas, apoyandonos en algun programa para explotar estas vulnerabilidades, y wow! multiples bases de datos...
Chicos, la hicieron completa, abc... no usen el user admin para hacer las consultas!

http://www.accordsalud.com.ar/php/turismo/destinos/destino_n.php?id=





Bueno, hay mas, pero es suficiente para que se entienda que es hora de parchear el sitio!

Saludos amigos

Publicado por en
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)