viernes, 16 de julio de 2010

Inyección SQL en Patrimur

Patrimur es un portal encargado de dar a conocer el patrimonio cultural de la Región de Murcia en el cual se recogen noticias sobre arqueología, paleontología y el patrimonio etnográfico e inmaterial de la región.

El Servicio de Patrimonio Histórico de la Región de Murcia, es una unidad administrativa integrada en la Dirección General de Bellas Artes y Bienes Culturales, dependiente de la Consejería de Cultura y Turismo.
Este portal dispone de un módulo de administración web desde el cual se puede modificar gran parte del contenido del mismo.
El módulo de administración se encuentra en la url http://www.patrimur.es/admin/admin.php


y parece que no se ha puesto especial atención en la seguridad ya que tanto el usuario como la contraseña podrian deducirse o encontrarse en un diccionario básico de claves (usuario: patrimur, clave admin).


Pero para quienes no hayan "adivinado" el usuario y contraseña también puede utilizar "la puerta trasera", es decir, acceder al portal mediante inyección sql ya que practicamente todas las páginas del portal son vulnerables y permiten el acceso a toda la base de datos así como a los usuarios y las contraseñas ya no solo del portal sino también de otros servicios.


Como se puede se produce un error al intentar una inyección SQL clásica ya que si se filtran las comillas simples lo que dificulta un poco (solo un poco) la inyección pero no es dificil construir una sentencia sql evitando las comillas simples (utilizando, por ejemplo, las funciones Concat y Char de MySQL)


Para "ocultar" las contraseñas se emplea el algoritmo md5 pero esto no supone un impedimento para obtenerla "en claro" ya que el md5 esta ampliamente difundido existen multitud de proyectos (tanto por diccionario como por fuerza bruta) para poder "revertir" un hash. Incluso utilizando google podremos saber que contraseña se esconde tras ese hash.


El problema del acceso a este tipo de información es que, por desgracia, muchos usuarios utilizan la misma clave para casi todos servicios que suelen utilizar en la web y, aqui podemos encontrar que algunas de las claves utilizadas en http://www.patrimur.es/ también son válidas para entrar en sus correspondientes direcciones de correo de hotmail, gmail, yahoo, etc. lo que hace que cualquiera que haya tenido acceso a la información del servidor puede acceder a estas cuentas y a toda la información contenida en ellas como por ejemplo, números de tarjetas, cuentas paypal, eBay, facebook... haciendo que los usuarios sean victimas potenciales de fraudes por internet, suplantación de identidad, etc.

NOTA: Este post fué publicado después de que el webmaster de http://www.patrimur.es/ fuera avisado y pudiera solucionar estos problemas.

No hay comentarios:

Publicar un comentario