Os traigo el email que envié al Ayuntamiento el pasado 12 de Abril para hacerles llegar un problema de seguridad que encontré en la web municipal y que por cierto, no han respondido:
12 de Abril de 2011 a la atención del Ayuntamiento de Castilleja de la Cuesta
Buenas tardes,Os envío este email para notificarles que he encontrado una falla de seguridad en la web del Ayuntamiento que compromete muy seriamente la seguridad de la información alojada en ella y de sus visitantes (Nuestros vecinos). La amenaza de este agujero de seguridad no solo se encuentra en el robo de información sino que también es vulnerable a la edición de la misma e incluso pudiendo llegar a vulnerar la seguridad de los propios visitantes de la web.Dicho error lo he encontrado en el buscador de la web, el cual permite ejecutar código scripting, lo que permitiría realizar todos los ataques antes mencionados. La explotación de este tipo de vulnerabilidades se las conoce por el nombre de XSS, su solución es muy sencilla por tanto les insto a que lo solucionen lo antes posible ya que, en caso contrario, estamos poniendo en peligro no solo la información que pueda haber en la web sino a los visitantes y hasta a los usuarios con correos web en el dominio (miembros del Ayuntamiento).Sin mas, me despido atentamente y les comunico que me encuentro a vuestra entera disposición para lo que pudieseis necesitar.
Christian Romero
Por si no ha quedado claro en el mensaje, este tipo de fallos de seguridad hace que tanto la información, como los usuarios con email en la web así como los usuarios que la visitamos podamos ser víctimas del robo de información privada así como de las claves de accesos a dichos emails.
Hoy he podido comprobar que han resuelto el problema pero solo en parte, la web ya no permite ejecutar código script pero sigue siendo vulnerable. Este error como ya he explicado hace que mediante el buscador e incluso en la url podamos insertar y ejecutar código. Para que se entienda mejor os mostraré un par de ejemplos que no ponen en riesgo la seguridad de la web pero que hará que entendáis hasta donde se puede llegar.
Existen dos formas de explotar ese agujero de seguridad, la primera es introduciendo código directamente en el buscador de la web, probar a añadir el siguiente código y pulsar buscar para comprobar que ocurre "<img src="http://blog.tmcnet.com/blog/tom-keating/images/mr- bean.jpg">"
La segunda manera es insertando código en la misma URL, aquí es donde está el peligro para los visitantes, añadiendo un código específico podemos hacer que la web ejecute lo que queramos o mejor dicho, nuestro navegador ejecutará lo que el atacante quiera, en este caso os enseño un ejemplo inocuo para vosotros, el siguiente enlace hace que muestre la imagen que queramos, para ello solo tenemos que cambiar la url de la imagen que os rotulo en rojo:
http://www.castillejadelacuesta.es/opencms/opencms/webcastilleja/resultados.html?action=search&query=%22%3Ca%20href=%22http://www.castillejaprotesta.org%22%3E%3Cimg%20src=%22https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_83RqCyM_ywHMPz7aQutIQko3pOY2d935lLdvTQ3LTutyQeOuMwKrlL0pgP2rdNR9-lvfOf7Kc4ncsMssxfKALMmcZvHfXEgCtgeShMHf_T4J9EffWyABvsuj8Fj_6SP8BK9NqELnFFNu/s1600/house.jpg%22%3E%3C/img%3E%3C/a%3E%22
Ambos ejemplos son inocuos como ya he dicho y no dejan información guardada ni editan la web del Ayuntamiento, para evitar que los usuarios seamos víctimas de estos ataques lo recomendable es siempre dirigirse a la web del Ayuntamiento escribiendo su dominio completo, asegurándose de utilizar la url http://www.castillejadelacuesta.es/ sin nada mas añadido al final, de momento han solucionado en parte el problema pero como habéis podido comprobar la web sigue siendo vulnerable a la inserción de código y con un poco de conocimiento e imaginación un atacante puede ser capaz de robar todo tipo de información, desde información privada, pasando por las contraseñas de los servicios que usen los visitantes (email, tuenti, facebook...) e incluso podemos ser víctimas de ataques phishing que consiste en el robo de nuestros datos bancarios mediante una web falsa.
Como veis no es un asunto para tomárselo a broma, tomar nota y evitar enlaces "raros" a la hora de acceder a la web del Ayuntamiento.
Ya hay dos cosas que temer a la hora de entrar a la web del Ayuntamiento:
ResponderEliminar-Los fallos de seguridad
-y las noticias politizadas para gente sin criterio
Saludos¡ :D
El cesar manu benito cayo y sus senadores, caerán, cayo Grecia, irlanda y Portugal, han caído los dictadores del norte de África, menos gadaffi, ha caido hasta bin ladem. Cayo huseim, Fidel todavía no. Va caer el cesar manu cabeza gorda. Este se cree que no va caer, pues caera con todo tu senado y agradecidos, y poquito a poco volveremos a recuperar nuestra villa.
ResponderEliminarAVE CESAR MANU, LOS QUE VOTAN POR EL CAMBIO TE SALUDAN!!!