La web es un poco curiosa ya que hay partes desarrolladas en ASP y otras en PHP accediendo SQL Server 2005 pero bueno, esto no es que sea ni malo ni bueno, solo que no suele ser lo habitual.
Lo que si era habitual es que no se tenía demasiado cuidado al filtrar los parámetros de entrada, por ejemplo, al acceder a las fichas de los productos se podía provocar un full path disclosure, o lo que es lo mismo, se podía forzar un error donde se mostraba la ruta completa del archivo en ejecución.
Afortunadamente, pese a ello, era dificil realizar inyección SQL ya que si se tiene en cuenta el caso de la comilla simple y no es posible "romper" la cadena que se ejecutará sobre la base de datos pero ¿existirá alguna otra página donde sea posible realizar inyección SQL? aparentemente no pero hay una sección especial llamada "Webmaster" donde cualquiera puede apuntarse y tener así "su" propia tienda erótica online, es decir que mediante Mae Sensations se da la posibilidad de ser "colaborador" y obtener comisiones por las compras que se hayan hecho desde nuestra página web. Como comentaba anteriormente existen más de 600 colaboradores, por ejemplo, Puta Locura la famosa web de Torbe es uno de ellos.
Los colaboradores disponen de un acceso especial a la web desde el cual controlar sus comisiones, el número de artículos vendidos y estadísticas variadas.
Y es aquí donde estaba el problema, una vez logeados, era posible acceder a varios informes que si permitían inyección SQL.
Comunicado a la empresa: 13/08/2010
Resolución: 19/11/2010
No hay comentarios:
Publicar un comentario