Cuidado con la web del Ayuntamiento

Os traigo el email que envié al Ayuntamiento el pasado 12 de Abril para hacerles llegar un problema de seguridad que encontré en la web municipal y que por cierto, no han respondido: 

12 de Abril de 2011 a la atención del Ayuntamiento de Castilleja de la Cuesta 

Buenas tardes,

Os envío este email para notificarles que he encontrado una falla de seguridad en la web del Ayuntamiento que compromete muy seriamente la seguridad de la información alojada en ella y de sus visitantes (Nuestros vecinos). La amenaza de este agujero de seguridad no solo se encuentra en el robo de información sino que también es vulnerable a la edición de la misma e incluso pudiendo llegar a vulnerar la seguridad de los propios visitantes de la web.

Dicho error lo he encontrado en el buscador de la web, el cual permite ejecutar código scripting, lo que permitiría realizar todos los ataques antes mencionados. La explotación de este tipo de vulnerabilidades se las conoce por el nombre de  XSS, su solución es muy sencilla por tanto les insto a que lo solucionen lo antes posible ya que, en caso contrario, estamos poniendo en peligro no solo la información que pueda haber en la web sino a los visitantes y hasta a los usuarios con correos web en el dominio (miembros del Ayuntamiento).

Sin mas, me despido atentamente y les comunico que me encuentro a vuestra entera disposición para lo que pudieseis necesitar.

Christian Romero

www.castillejaprotesta.org

Por si no ha quedado claro en el mensaje, este tipo de fallos de seguridad hace que tanto la información, como los usuarios con email en la web así como los usuarios que la visitamos podamos ser víctimas del robo de información privada así como de las claves de accesos a dichos emails.

Hoy he podido comprobar que han resuelto el problema pero solo en parte, la web ya no permite ejecutar código script pero sigue siendo vulnerable. Este error como ya he explicado hace que mediante el buscador e incluso en la url podamos insertar y ejecutar código. Para que se entienda mejor os mostraré un par de ejemplos que no ponen en riesgo la seguridad de la web pero que hará que entendáis hasta donde se puede llegar.

Existen dos formas de explotar ese agujero de seguridad, la primera es introduciendo código directamente en el buscador de la web, probar a añadir el siguiente código y pulsar buscar para comprobar que ocurre "<img src="http://blog.tmcnet.com/blog/tom-keating/images/mr-bean.jpg">"

La segunda manera es insertando código en la misma URL, aquí es donde está el peligro para los visitantes, añadiendo un código específico podemos hacer que la web ejecute lo que queramos o mejor dicho, nuestro navegador ejecutará lo que el atacante quiera, en este caso os enseño un ejemplo inocuo para vosotros, el siguiente enlace hace que muestre la imagen que queramos, para ello solo tenemos que cambiar la url de la imagen que os rotulo en rojo:

http://www.castillejadelacuesta.es/opencms/opencms/webcastilleja/resultados.html?action=search&query=%22%3Ca%20href=%22http://www.castillejaprotesta.org%22%3E%3Cimg%20src=%22https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_83RqCyM_ywHMPz7aQutIQko3pOY2d935lLdvTQ3LTutyQeOuMwKrlL0pgP2rdNR9-lvfOf7Kc4ncsMssxfKALMmcZvHfXEgCtgeShMHf_T4J9EffWyABvsuj8Fj_6SP8BK9NqELnFFNu/s1600/house.jpg%22%3E%3C/img%3E%3C/a%3E%22

Ambos ejemplos son inocuos como ya he dicho y no dejan información guardada ni editan la web del Ayuntamiento, para evitar que los usuarios seamos víctimas de estos ataques lo recomendable es siempre dirigirse a la web del Ayuntamiento escribiendo su dominio completo, asegurándose de utilizar la url http://www.castillejadelacuesta.es/ sin nada mas añadido al final, de momento han solucionado en parte el problema pero como habéis podido comprobar la web sigue siendo vulnerable a la inserción de código y con un poco de conocimiento e imaginación un atacante puede ser capaz de robar todo tipo de información, desde información privada, pasando por las contraseñas de los servicios que usen los visitantes (email, tuenti, facebook...) e incluso podemos ser víctimas de ataques phishing que consiste en el robo de nuestros datos bancarios mediante una web falsa.

Como veis no es un asunto para tomárselo a broma, tomar nota y evitar enlaces "raros" a la hora de acceder a la web del Ayuntamiento.

El Alcalde quiere depurar responsabilidades, menos la suya

Hoy podemos leer en la prensa la siguiente noticia:

Alcalde de Castilleja abrirá el martes un expediente para depurar responsabilidades sobre las bajas de policías

El alcalde se ha pronunciado así después de que los sindicatos Sppme, CCOO y CSI-F, con representación en el Cuerpo de Policía Local de Castilleja de la Cuesta, hayan anunciado este domingo que estudian interponer una tercera denuncia contra el primer edil, a cuenta de sus acusaciones tras las bajas registradas.El alcalde de Castilleja de la Cuesta (Sevilla), Manuel Benítez (PSOE), ha anunciado que el próximo martes, día 3 de mayo, abrirá un expediente informativo para depurar responsabilidades sobre las bajas producidas "de manera masiva y en connivencia" por parte de la plantilla de Policía Local durante la Semana Santa.

En declaraciones a Europa Press, Benítez ha indicado que su misión como alcalde es "velar por la seguridad" en el municipio y, especialmente, en una festividad tan importante como la Semana Santa. A su juicio, es "muy muy extraño" que se produjeran "tantas bajas, justo después de que se levantaran de una negociación".

El alcalde se ha pronunciado así después de que los sindicatos Sppme, CCOO y CSI-F, con representación en el Cuerpo de Policía Local de Castilleja de la Cuesta, hayan anunciado este domingo que estudian interponer una tercera denuncia contra el primer edil, a cuenta de sus acusaciones tras las bajas registradas.

Asimismo, Benítez ha considerado que la única "epidemia" que ha afectado estos días a los policías municipales es una "epidemia de irresponsabilidad". Por ello, ha advertido que va a llegar "hasta donde tenga que llegar para depurar responsabilidades en lo sucedido".

Tras afirmar que no le tiene "miedo" a las denuncias que los sindicatos de Policía Local puedan interponer en su contra, ha dicho que confía en la Justicia y que tiene la conciencia "muy tranquila". "Los que tienen que tener cuidado son los que han mentido", ha concluido el alcalde de Castilleja de la Cuesta.

 Es curioso que el expediente informativo lo abra un Señor denunciado por presuntamente robar gasolina y quitarles las multas a sus conocidos. Esto me huele a que como sabe que le quedan menos de 20 días de cargo, va a intentar llevarse por delante a quien pueda... la pena de esto es que como siga así se llevará por delante a compañeros de partido, al PSOE e incluso a algunos de sus trabajadores.

Lo que hacen algunos por mantenerse en el cargo... por cierto ¿Sabéis que este Señor llegó a cobrar hasta 48.000€ al año? El equivalente a 12 pagas de 4.000€ vamos lo que cobra cualquier trabajador, pero tranquilos, a partir del 6 de Mayo os enteraréis de muchas cositas mas.