Para empezar me puse a realiar un mini testing, la verdad no me acuerdo por que je pero quise probar la seguridad de las aplicaciones del sitio, y gracias a esto pude encontrar varias sorpresas inesperadas, relacionadas a varios fallos de seguridad que comprometen a los usuarios externos como internos.
NOTA: Bueno antes que todo los directorios y archivo de cada link fue reemplazado por private para no filtrar la informacion original.
1)
El primer BuG encontrado es un es un famoso SQL Injection donde podremos ver los datos obtenidos desde la inyeccion en el codigo fuentes ya que no se pueden visualizar directo de la web.
http://www.13.cl/private/private.php?id=8[SQLi]
2)
Luego el segundo BuG en un Arbitrary File Download, donde obtenemos datos de los archivo php u otros. Como por ejemplo conecciondes de las base de datos.
http://www.13.cl/private/private.php?private=[AFD]
OJO: No son todos los errores encontrados hay muchos mas je.
nice!!
ResponderEliminar