El día 12 de abril del 2010 fue publicado vía twitter una posible vulnerabilidad que afecta al sitio web chileno Subus Chile. La vulnerabilidad corresponde a SQL Injection la cual permite a su vez inyección de código html/javascript (cross-site scripting) y tambien nos permite conocer la ruta donde se encuentra el sitio en el servidor (full path disclosure).
El autor de esta publicación corresponde al usuario @rdklinux, quien hace más de dos años hizo publico la vulnerabilidad SQL Injection que afecta a este sitio web.
Las vulnerabilidades han sido publicadas con los IDs #2383, #2384, #2385 y han podido ser verificadas realizando las siguientes pruebas de concepto:
- SQL Injection: Asignamos a la variable id el comodín 1 or 1=1 (true) y el sistema nos muestra una lista con todos los resultados de la query, sin embargo, si probamos con 1 or 1=0 (false) el sistema no nos muestra ningun resultado.
- Cross-Site Scripting: Cuando generamos un error en la consulta, el sistema nos muestra el error de mysql indicando problemas en la sintaxis, por lo tanto si ingresamos un valor como <script>alert(1)</script>, mysql nos devolverá un error con el mismo texto y el navegador lo interpretará.
- Full Path Disclosure: Transformando la variable id a un Array.
Al parecer el sitio está hecho en casa… no con sistemas como Drupal o WordPress como base, y con PHP «pelao». No conocer ni siquiera cosas como el OWASP Top 10 a estas alturas resulta fatal al momento de desarrollar apps web.