Graves Fallos de Seguridad...
Distintos fallos de seguridad en paginas WEB de organismos publicos y empresa de servicios internacional:
1-) Prensa.oceba.gov.ar (organizacion de prensa argentina)
Posee un sistema php-nuke (sin actualizar), vulnerable por medio de un exploit que crea un ¨admin¨ , con la facilidad de logearse dentro del sistema...
El exploit para crear un admin en esta web: AQUI
2-) Facultad de Informática y Electrónica del Ecuador
Ingresando a http://www.espoch.edu.ec/fie se percibe un error, el index.php no hace inicio al directorio. A causa de esto se pueden ver las carpetas y los archivos dentro del directorio "fie". Si se ingresa al directorio "admini" se puede obtener los nombres de usuarios y sus respectivos passwords para ingregar al panel de control de la administracion de la facultad. Tambien se logra obtener los datos de la db y otra informacion sensible.
Fuente: r-alert
3-)Ministerio de Educacion de la Nacion Argentina
El user ¨Zorro¨ ha encontrado un GRAN agujero de seguridad en la web oficial del ministerio de educacion http://www.me.gov.ar, en el cual se pueden ver el user y el password de la conexion a la base de datos MYSQL.
El fallo se centra en un archivo llamado ¨titulo2.inc¨ contenido en la siguiente direccion:
http://www.me.gov.ar/centro/titulo2.inc
En donde se pueden observar los siguientes datos:
?
$link = mysql_connect("bdatos.me.gov.ar", "A_dsweb","EcSdrT"); (user password y host de conexion)
mysql_select_db("dsweb", $link);
$error=mysql_error($link);
if ( $error = " ")
{
Donde se observa claramente el nombre de usuario, password de la base de datos y el host de conexion...
para mas datos sobre esta vulnerabilidad y ejemplos de como usarla en esta WEB
4-) Fallo en Empresa de Gas de EE.UU
Se trata de un curioso fallo, mediante el cual se puede acceder, a un variado menu de opciones de registros, reportes, altas, bajas, etc.se trata de una importante empresa que posee entre sus clientes a CITIBANK , UNITED STATES TREASURE, UTAH, etc, etc.., como pueden ver en las imagenes ilustrativas.
Sobre como ingresar y utilizar este fallo, remitase a esta WEB
2-) Facultad de Informática y Electrónica del Ecuador
Ingresando a http://www.espoch.edu.ec/fie se percibe un error, el index.php no hace inicio al directorio. A causa de esto se pueden ver las carpetas y los archivos dentro del directorio "fie". Si se ingresa al directorio "admini" se puede obtener los nombres de usuarios y sus respectivos passwords para ingregar al panel de control de la administracion de la facultad. Tambien se logra obtener los datos de la db y otra informacion sensible.
Fuente: r-alert
3-)Ministerio de Educacion de la Nacion Argentina
El user ¨Zorro¨ ha encontrado un GRAN agujero de seguridad en la web oficial del ministerio de educacion http://www.me.gov.ar, en el cual se pueden ver el user y el password de la conexion a la base de datos MYSQL.
El fallo se centra en un archivo llamado ¨titulo2.inc¨ contenido en la siguiente direccion:
http://www.me.gov.ar/centro/titulo2.inc
En donde se pueden observar los siguientes datos:
?
$link = mysql_connect("bdatos.me.gov.ar", "A_dsweb","EcSdrT"); (user password y host de conexion)
mysql_select_db("dsweb", $link);
$error=mysql_error($link);
if ( $error = " ")
{
Donde se observa claramente el nombre de usuario, password de la base de datos y el host de conexion...
para mas datos sobre esta vulnerabilidad y ejemplos de como usarla en esta WEB
4-) Fallo en Empresa de Gas de EE.UU
Se trata de un curioso fallo, mediante el cual se puede acceder, a un variado menu de opciones de registros, reportes, altas, bajas, etc.se trata de una importante empresa que posee entre sus clientes a CITIBANK , UNITED STATES TREASURE, UTAH, etc, etc.., como pueden ver en las imagenes ilustrativas.
Sobre como ingresar y utilizar este fallo, remitase a esta WEB
publicado por Mousehack a las 11:10 p. m.
1 Comments:
muy bueno excelente la verdad cosa de no creer estas cosas, pero bue
Publicar un comentario
<< Home