Hoy les traigo algunos casos de sitios que pasaron por alto los principios básicos al momento de restringir una sección o implementar el famoso "Acceso de Administrador".
En primer lugar tenemos un error de programación en un sitio web de clasificados digitales. En su sección de administración encontramos lo siguiente:
Nada raro hasta aquí...una típica solicitud de credenciales. Pero escribiendo cualquier cosa en ambos campos llegamos a esto:
Como ven, ya estamos dentro del "privilegiado" sector de administración.
Mas triste aún es lo que hizo el webmaster del site de venta de zapatilla de "5ta a Fondo", donde simplemente ingresando a la carpeta /admin/ se llega a esto:
Y si dudan que desde allí se puede hacer algo, les dejo la siguiente captura:
Si, lo se, increíble... Esto puede ser simplemente solucionado protegiendo dicha carpeta con htaccess.
Pero esperen! Aún hay más! Una error frecuente es utilizar credenciales por defecto o muy sencillas como el clasico "admin admin" (es decir, usuario: admin , contraseña: admin), como es el caso del Centro de Cultura e Idioma Japonés en la Argentina, que en este caso solo utilizan una contraseña de protección (algo no recomendado):
Y aquí luego de ingresar:
Como ven, se puede incluso hasta modificar las secciones del sitio web...siempre y cuando hablen Japonés... :P
Como siempre digo, no hay que tomar la seguridad de nuestro sitio a la ligera, ya que por más que digan "No les sirve de nada hackear mi sitio" están muy equivocados. Este tipo de errores (ya que no son considerados vulnerabilidades) pueden permitir que usuarios malintencionados alojen malware en su sitio, o lo inyecten con código malicioso...entre otras cosas, por lo que estarían siendo participes sin quererlo de actividades ilegales.
Ximo
Este blog tiene como motivo mostrar las vulnerabilidades y problemas que poseen sitios y servidores Argentinos en materia de seguridad informática, ya sean comerciales, oficiales, o gubernamentales. Los mismos son informados a los responsables de cada uno de estos previo al post en el blog. El fin, que la información personal de cada Argentino sea tratada como tal y sea resguardad como corresponde. El autor de las publicaciones no se hace responsable por el mal uso de la información brindada.
Suscribirse a:
Enviar comentarios (Atom)
Es cierto, es común "enterarte" sin querer de datos que no solicitás en ciertas páginas (sobre todo educativas que son las que consulto), entonces? Es posible que cualquier malintencionado tergiverse tus datos? Horror!
ResponderEliminarMuy bueno, gracias, Ivana Alvarez
Lamentablemente si Ivana, dependiendo de la vulnerabilidad o error de configuración es posible que tergiversen tus datos. Muchas gracias por tu comentario. Saludos.
ResponderEliminarXimo