Es aparte una hermosa oportunidad para aprender no?

Hace 2 semanas que intento conectarme con alguien que responda. Encontré una vulnerabilidad super banal y bien feita de SQLinjection en un sitio del govierno y todavìa nadie me respiondiò. (demas està decir que no hay en el sitio ningùn tipo de informaciòn sobre los responsables tècnicos, asì que ando tratando de ver si por telèfono alguin sabe con quin contactarme)

La verdad es que como desarrollador muchas veces hacemos caso omiso a cosas que creemos insignificantes, pero que pueden convertirse en problemas mucho mayores si alguien le saca provecho (y peor aún, si lo mezcla con alguna otra falencia propia del sistema en sí). En mi caso, no respondí un correo donde me avisaban del error (un componente de Mambo que había hecho), y luego hice caso omiso a un segundo correo que me llegó de la misma persona. A la semana siguiente, varios correos me llegaron de personas afectadas por el problema… (y como era de esperarse, estaban enojados).

Desde ese día (y dado que gané interés en seg. inf.) cada vez que encuentro “algo” lo informo… aunque me encuentro siempre con ese paredón del ego de un programador.

De cierre… si alguien te reporta un error y no sabés como solucionarlo… es mejor bajarse de la moto (ser modesto!) y preguntar, antes que sufrir las consecuencias por no haber escuchado (lección aprendida, je!).

Saludos!

– INICIO –
La vulnerabilidad es del tipo LFI (también conocida como Path/File
Disclosure) y permite que cualquiera pueda: (i) obtener archivos que
por su naturaleza resulta más conveniente que se mantengan privados
(incluyendo configuraciones y archivos con claves), (ii) inspeccionar
el árbol de directorios del servidor, (iii) potencialmente ejecutar
órdenes en el servidor, ya sea con o sin fines maliciosos, (iv)
potencialmente insertar código en el sitio web, (v) emplear el
servidor como una pasarela para comunicarse con otro servidor, ya sea
éste interno o público o de acceso restringido.

El problema se observa con facilidad al prestar atención a cómo se
cargan los distintos recursos en el sitio web.

Pongamos, por ejemplo, la dirección
http://www.mincyt.gov.ar/index.php?contenido=indicadores/banco_indicadores/presentacion
Está diciendo que el contenido está en un subdirectorio llamado
indicadores, otro llamado banco_indicadores y finalmente hay un
fichero llamado presentacion que se debe buscar. Sin embargo, como no
se filtra de ninguna manera esta variable, si un usuario ingresara
http://www.mincyt.gov.ar/index.php?contenido=indicadores/banco_indicadores/../banco_indicadores/presentacion
obtendría el mismo fichero, diciendo indicadores -> banco_indicadores
-> subir un directorio (a indicadores) -> banco_indicadores ->
presentacion. Esta vulnerabilidad permite acceder a un archivo
arbitrario en el servidor.

Por otra parte, si se ingresara una URI, por ejemplo
http://youruseragent.info/ip.php (que devuelve la dirección IP que
realiza la petición), y se pone esta dirección para contenido más el
carácter ASCII 0 para terminar la cadena (y evitar que se añada “.htm”
al final de la dirección), puede descubrirse que la salida es
200.9.244.13 (que es una IP registrada a nombre de la Red Cientifica y
Tecnologica Nacional) para
http://www.mincyt.gov.ar/index.php?contenido=http://youruseragent.info/ip.php%00,
es decir, que está actuando como una pasarela (“proxy”) para
comunicarse con otros servidores.

Esto se puede resolver con facilidad verificando el contenido de la
variable “contenido” (por ejemplo usando una expresión regular) y
filtrando todos los caracteres que no sean alfanuméricos o “/”, y
eliminando además el caracter / si empieza la cadena. Además, me
gustaría agregar que estoy dispuesto a ofrecerle la asistencia
necesaria, en caso de necesitarla, para su pronta resolución.

Sin más, saludo a Ud. muy atentamente.
– FIN –