Termina otro año y la vulnerabilidad SQLi, que data de 1998, y que fue descrita por primera vez en http://phrack.org/ sigue ocupando uno de los primeros lugares en los rankings.
Fácil de explotar, pero no tan sencilla de descubrir sin la necesaria imaginación en su búsqueda.
👇
Cuando se utilizan bases de datos, las consultas que se realizan deben estar bien formadas y aseguradas. Importa poco qué tipo de BD's se usen y sobre qué lenguaje se programen.
Si la consulta deja variables inconsistentes en la programación, será fácil de vulnerar.
La búsqueda de desarrollos programados en PHP sobre MYSQL es algo obsoleto, aunque siguen encontrándose, todavía, webs vulnerables...
Vamos a realizar una POC real sobre un dominio utilizando la herramienta Sqlmap:
Una asociación de empresarios del transporte de Cantabria que, naturalmente, apoyaba el paro patronal previsto para el 21 de diciembre de 2021
NO REPLIQUÉIS LO QUE SIGUE A CONTINUACIÓN.
1.- Vemos que la variable id se usa para las consultas del visionado de noticias
https://www.asemtrasan.com/vernoticia.php?id=43
2.- Probamos su consistencia alterando la URL con un carácter especial no previsto en la consulta
Observamos que la variable id no está asegurada. Ni da error, ni devuelve al index, deja la página en blanco.
3.- Ejecutamos sobre ella la herramienta sqlmap y comprobamos que es vulnerable por el método GET descubriendo las Bases de Datos sobre un Back-End MySQL >= 5.0.12 (MariaDB fork)
Tres puntos de inyección sobre los que actuar y que darán como resultado descubrir los datos de sus administradores.
Luego, no hace falta nada más que encontrar su panel de administración que, en este caso, no estaba muy escondido y actuar sobre el objetivo
Pero ¿esto es así de tonto? os preguntaréis 😅
👉 Bueno, no. Esto es así de tonto cuando se hacen tonterías y no penséis que es infrecuente. En España, la ciberseguridad es, todavía, muy relativa aunque muchos expertos os digan que somos un país puntero.
¿Pueden ocurrir estos fallos a niveles institucionales o de grandes corporaciones empresariales?
👉 No lo dudéis ni un momento
PD.- NO juguéis con estas cosas. La seguridad es muy relativa también para hacer pentesting y la Red está obsevada por miles de ojos uniformados y de ciberseguratas al servicio de los poderes económicos de este país.
A la Asociación de Empresarios del Transporte de Cantabría, miembro de Fetransa: Jugar a los paros patronales disfrazándolos de Huelga de transportistas no es bien 😜
Gastaos algunos eurillos en mejorar vuestra web.
De nada!
Sin identidad