Portal de noticias El Rancaguino atacado mediante SQL Injection

El 10 de noviembre se publicó en pastebin un archivo que contiene evidencia del acceso a la base de datos del periodico en línea El Rancaguino mediante la técnica de inyección sql. El atacante (@r0st3r) expone información sensible acerca de los usuarios de sistema y la base de datos. La URL por la cual fue […]

El 10 de noviembre se publicó en pastebin un archivo que contiene evidencia del acceso a la base de datos del periodico en línea El Rancaguino mediante la técnica de inyección sql. El atacante (@r0st3r) expone información sensible acerca de los usuarios de sistema y la base de datos.

La URL por la cual fue vulnerado el sistema corresponde a http://www.elrancaguino.cl/rancaguino/noticias_deportes.php la cual mediante la variable “cod“, que no estaba debidamente filtrada, era posible realizar consultas a la base de datos de forma arbitraria.

El nombre de la base de datos a la que accedió es elrancag_rancaweb y la tabla que contiene la información expuesta corresponde a la tabla usuarios.

Extracto PASTEBIN

El atacante da a entender que las claves almacenadas en la base de datos no se encontraban bajo ningún tipo de cifrado, por lo que para proteger a los usuarios, fue él mismo quien las cifró en MD5 para no exponerlas publicamente

Extracto PASTEBIN

Lo curioso es que ese mismo dia otro grupo se adjudico el hecho, lo pueden ver en este link: http://pastebin.com/1H6SvK3R