Resultados 1 al 6 de 6

Tema: Historia real..

  1. #1 Historia real.. 
    Iniciado
    Fecha de ingreso
    Jul 2009
    Ubicación
    Canarias
    Mensajes
    11
    Descargas
    1
    Uploads
    0
    Recientemente he descubierto una vulnerabilidad en la pagina de una "empresa" conocida en el ambito nacional... el tema es que después de encontrar un bug que me permitia atacar a un script asp para descargar imagenes del panel de control, cambiandole la ruta me descargaba el fichero ASP con la configuración de la base de datos, luego con un ODBC enganchaba mi access y descubrí ventas a través de internet, base de datos de usuarios etc.

    El caso es que los llamé y les conté que había descubierto este problema que me parecia muy grave, me comentan que tenian la semana liada pero que me llamaban.. les explico lo que les puede pasar si no lo corrigen...

    ¿creeis que han cambiado las claves? ninguna

    ¿creeis que me han llamado? noooop

    Yo no entiendo a este pais.
    ===============================
    Limitation between knowledge & me is only the time
    Citar  
     

  2. #2  
    Moderador HH
    Fecha de ingreso
    Nov 2006
    Mensajes
    1.516
    Descargas
    7
    Uploads
    0
    A ningun administrador de sistemas le gusta oir lo inutil que es


    Seguramente no lo han tomado en serio o no han sabido descubrir el bug. Si no te llaman ni te piden ayuda logicamente no tienes porque darles ningun analisis completo ni ninguna auditoria, y tampoco deberias dejarles un "regalito".


    Lo mejor es dejar que las cosas sigan su curso, ya habra alguno con mas mala idea que tu, que decida que esa pagina no tiene porque quedar en pie con semejante bug.



    Un saludo
    Mess with the best, die like the rest.


    Hazle a los demas... antes de que te hagan a ti.
    Citar  
     

  3. #3  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Si a través de esas claves se puede accedera a información sensible (de terceros, personal, etc) se les puede incluso denunciar. Y las multas no son pequeñas.

    Si no es así, bueno, ellos sabrán a lo que se arriesgan.

    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  4. #4  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.721
    Descargas
    30
    Uploads
    8
    Cita Iniciado por j8k6f4v9j Ver mensaje
    Si a través de esas claves se puede accedera a información sensible (de terceros, personal, etc) se les puede incluso denunciar. Y las multas no son pequeñas.
    Secundo la mocion, ya veras cuando les llegue un multon de puta madre firmado por la Agencia de Proteccion de Datos.


    PD: Tema Movido
    Citar  
     

  5. #5  
    Iniciado
    Fecha de ingreso
    Jul 2009
    Ubicación
    Canarias
    Mensajes
    11
    Descargas
    1
    Uploads
    0
    Bueno no es mi intención ni denunciarlos ni desearles ningún mal, pero el día que les hagan un destrozo mirarán para mi fijo.. y eso me toca las ***
    ===============================
    Limitation between knowledge & me is only the time
    Citar  
     

  6. #6  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    El caso es que ellos no están evitando que les hagan un mal a sus usuarios, por lo que con tu denuncia no les haces un mal a ellos, sino que proteges los intereses de tus usuarios.

    Además, si no me equivoco es incluso obligatorio denunciar (tras poner en conocimiento de los administradores) los sitios y aplicaciones web que vulneran la intimidad de sus usuarios, puesto que contravienen la ley.

    Yo creo que simplemente con mencionar los artículos que no están respetando ya se conseguiría que implementasen algún mecanismo para impedir el acceso público a las credenciales de esa base de datos, por rudimentario que sea.

    Hay muchas empresas que incluso destinan una parte de su presupuesto para contratar legalmente los servicios de gente (se nos ha dado el caso incluso a los miembros del staff de HH) para encontrar potenciales vectores de ataque a aplicaciones o sitios web públicos. Es decir, que les estás haciendo un favor y deberían saber agradecerlo, al menos arreglando el fallo.

    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

Temas similares

  1. Respuestas: 0
    Último mensaje: 05-02-2011, 15:25
  2. Real Union - Real Madrid
    Por mozull en el foro DIGITAL+
    Respuestas: 5
    Último mensaje: 31-10-2008, 18:51
  3. La verdadera historia de C++
    Por Nost en el foro OFF-TOPIC
    Respuestas: 6
    Último mensaje: 15-01-2008, 20:25
  4. odisea ,historia.etc
    Por NIAFUL en el foro TELEVISION
    Respuestas: 1
    Último mensaje: 31-01-2007, 20:38
  5. La Historia Interminable
    Por SanLeviaThan en el foro OFF-TOPIC
    Respuestas: 142
    Último mensaje: 14-12-2006, 22:13

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •