Portada » Home » Directory Listing/Full Path Disclosure en Security-Advisor

Directory Listing/Full Path Disclosure en Security-Advisor

Security-Advisor o (sadvisor.com) es una empresa que se dedica a entregar soluciones de seguridad informática y de la información. Según ellos, Líderes en Seguridad de la Información.

Al ingresar al sitio web http://www.sadvisor.com podemos ver que existe un directorio llamado includes/, el cual permite misteriosamente Directory Listing. Gracias a esta caracteristica, podemos ver el listado de archivos php dentro del directorio includes, pudiendo acceder a ellos directamente.

Security Advisor - Directory Listing
Security Advisor – Directory Listing

El problema en si no es el listado de archivos, sino que al ingresar directamente a varios de estos php, no está validando el acceso directo a los archivos, por lo que provoca un error y gracias a un problema de configuración del servicio apache+php, nos muestra ese error en pantalla divulgando la ruta del sistema donde se encuentra el sitio.

sad2

Como indican en su sitio web, en una empresa el primer paso es reconocer su empresa puede tener un problema de seguridad y el segundo paso es llamar a Security Advisor. Pero en este caso el primer paso fue «tener una falla de seguridad», cual es el siguiente paso?

More Reading

Post navigation

Deja una respuesta