lunes, 16 de noviembre de 2009

¿Acceso restringido? Si, claro...

Hoy les traigo algunos casos de sitios que pasaron por alto los principios básicos al momento de restringir una sección o implementar el famoso "Acceso de Administrador".

En primer lugar tenemos un error de programación en un sitio web de clasificados digitales. En su sección de administración encontramos lo siguiente:





Nada raro hasta aquí...una típica solicitud de credenciales. Pero escribiendo cualquier cosa en ambos campos llegamos a esto:





Como ven, ya estamos dentro del "privilegiado" sector de administración.

Mas triste aún es lo que hizo el webmaster del site de venta de zapatilla de "5ta a Fondo", donde simplemente ingresando a la carpeta /admin/ se llega a esto:





Y si dudan que desde allí se puede hacer algo, les dejo la siguiente captura:





Si, lo se, increíble... Esto puede ser simplemente solucionado protegiendo dicha carpeta con htaccess.

Pero esperen! Aún hay más! Una error frecuente es utilizar credenciales por defecto o muy sencillas como el clasico "admin admin" (es decir, usuario: admin , contraseña: admin), como es el caso del Centro de Cultura e Idioma Japonés en la Argentina, que en este caso solo utilizan una contraseña de protección (algo no recomendado):





Y aquí luego de ingresar:





Como ven, se puede incluso hasta modificar las secciones del sitio web...siempre y cuando hablen Japonés... :P

Como siempre digo, no hay que tomar la seguridad de nuestro sitio a la ligera, ya que por más que digan "No les sirve de nada hackear mi sitio" están muy equivocados. Este tipo de errores (ya que no son considerados vulnerabilidades) pueden permitir que usuarios malintencionados alojen malware en su sitio, o lo inyecten con código malicioso...entre otras cosas, por lo que estarían siendo participes sin quererlo de actividades ilegales.


Ximo

2 comentarios:

  1. Es cierto, es común "enterarte" sin querer de datos que no solicitás en ciertas páginas (sobre todo educativas que son las que consulto), entonces? Es posible que cualquier malintencionado tergiverse tus datos? Horror!
    Muy bueno, gracias, Ivana Alvarez

    ResponderEliminar
  2. Lamentablemente si Ivana, dependiendo de la vulnerabilidad o error de configuración es posible que tergiversen tus datos. Muchas gracias por tu comentario. Saludos.

    Ximo

    ResponderEliminar