Cuando los admins no le dan bola a las notificaciones de vulnerabilidades
Esta publicación es para seguir haciendo consciencia en administradores que deben dar seguimiento a una falla de seguridad, muchas veces no les interesa o no consideran un riesgo la falla que puede afectar a terceros. La semana pasada el equipo de osisecurite le reporto a una gran universidad de la localidad una falla en su pagina web a ataques de XSS.Aceptaba por la URL etiquetas HTML
Tambien javascript :P
Ya con ese finding, podriamos realizar mas cosas como crear un simple php que me guarde en un log todos los visitantes, IP de la WAN y robar las cookies si es que hay una sesion etc...
Un ejemplo seria
Este issue fue reportado antes los administradores del sitio, a lo cual no recibi una respuesta inmediata mas que:
"Gracias por tomarse el tiempo y avisarnos de las fallas en nuestra pagina web, favor de comunicarse con esta persona (correo electronico del admin), para que le notifique.
Para esto utilice la herramienta de harvester, por que no tenia ni puta idea de quien es quien en una organización tan importante asi que todo los corres que encontré les enviamos la notificación hasta la ultima respuesta de la cual no tuvimos una notificación por parte del admin, esperemos y mejoren la falla de seguridad y que nos quede como consejo que cualquier vulnerabilidad reportada debe ser arreglada por mas pequeña que sea y lo mas importante hacerles saber que hay hacking ético (aunque fue una casualidad el finding) que aun reporta los fallos en vez de explotarlos por curiosidad.
0 comentarios:
Publicar un comentario