ratah4x0r
09-01-2012, 18:08
Gracias por este excelente portal. La razon por la cual escribo, es que hay algunas empresas totalmente anti-eticas en el ambito de la informatica. Un ejemplo es XXXXX que se dedican a hacer sitios web sin importarles la seguridad de los datos de sus clientes. Todos los sitios son vulnerables a ataques de inyeccion SQL ya que utilizan el mismo template vulnerable y no se han interesado en reparar estos agujeros. La lista de clientes la pueden encontrar aca para que tengan una idea de la cantidad de sitios afectados por esta vulnerabilidad.:
http://www.XXXXX.com/listadodeclientes/?lang=es
Prueba de concepto:
En sus bases dedatos el siguiente path al hacer inyeccion revelara el admin y su respectivo password:
Nombre de la base de datos: Varia de sitio a sitio.
Nombre de la tabla: CtrAccess
Columnas: login | password
Variable php vulnerable al ataque: nombredelsitio.com/cat?=
*** Pueden hacer sus pruebas con el listado mencionado anteriormente
Como repito todos los sitios generados por esta empresa muestran la misma vulnerabilidad. Gracias a informaticos perezosos que no han tenido la disposición de repararla.
http://www.XXXXX.com/listadodeclientes/?lang=es
Prueba de concepto:
En sus bases dedatos el siguiente path al hacer inyeccion revelara el admin y su respectivo password:
Nombre de la base de datos: Varia de sitio a sitio.
Nombre de la tabla: CtrAccess
Columnas: login | password
Variable php vulnerable al ataque: nombredelsitio.com/cat?=
*** Pueden hacer sus pruebas con el listado mencionado anteriormente
Como repito todos los sitios generados por esta empresa muestran la misma vulnerabilidad. Gracias a informaticos perezosos que no han tenido la disposición de repararla.