3×1: Cross-Site Scripting, SQL Injection y Full Path Disclosure en sitio web chileno

El día 12 de abril del 2010  fue publicado vía twitter una posible vulnerabilidad que afecta al sitio web chileno Subus Chile. La vulnerabilidad corresponde a SQL Injection la cual permite a su vez inyección de código html/javascript (cross-site scripting) y tambien nos permite conocer la ruta donde se encuentra el sitio en el servidor (full path disclosure).

 

El autor de esta publicación corresponde al usuario @rdklinux, quien hace más de dos años hizo publico la vulnerabilidad SQL Injection que afecta a este sitio web.

Las vulnerabilidades han sido publicadas con los IDs #2383, #2384, #2385 y han podido ser verificadas realizando las siguientes pruebas de concepto:

  1. SQL Injection: Asignamos a la variable id el comodín 1 or 1=1 (true) y el sistema nos muestra una lista con todos los resultados de la query, sin embargo, si probamos con 1 or 1=0 (false) el sistema no nos muestra ningun resultado.
  2. Cross-Site Scripting: Cuando generamos un error en la consulta, el sistema nos muestra el error de mysql indicando problemas en la sintaxis, por lo tanto si ingresamos un valor como <script>alert(1)</script>, mysql nos devolverá un error con el mismo texto y el navegador lo interpretará.
  3. Full Path Disclosure: Transformando la variable id a un Array.

 

One thought on “3×1: Cross-Site Scripting, SQL Injection y Full Path Disclosure en sitio web chileno

  1. Al parecer el sitio está hecho en casa… no con sistemas como Drupal o WordPress como base, y con PHP «pelao». No conocer ni siquiera cosas como el OWASP Top 10 a estas alturas resulta fatal al momento de desarrollar apps web.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.