sábado, 18 de septiembre de 2010

Inyección SQL en la web del metro de Madrid (1/2)

El metro de Madrid dispone de una completa web con información útil para los viajeros desde la cual poder planificar nuestros trayectos ya que es posible realizar búsquedas de las líneas que debemos utilizar en función del lugar de salida y el de llegada. También dispone de información de todas sus estaciones, horarios, tarifas, planos...

Pero lamentablemente el servicio de atención al cliente no es tan completo ya que llevo un par de semanas intentando ponerme en contacto con ellos y no hay manera así que mientras que lo consigo solo puedo comentar que, en su web, existe una vulnerabilidad de tipo inyección de código SQL por la que es posible tener acceso a toda la información contenida en su servidor de datos.

En esta captura se puede ver la lista de bases de datos accesibles

Si alguien sabe como contactar con ellos que me lo indique y una vez solucionado el problema publicaré más información sobre esta vulnerabilidad.

Actualización:
Finalmente el Metro de Madrid se puso en contacto conmigo el día 23 para comentarme que le han pasado mi petición al departamento correspondiente y que se tomarán las medidas oportunas... en resumen, que va para largo.

Detección del problema: 04/09/2010
Comunicado a la empresa: 04/09/2010 (acuse de recibo 23/09/2010)
Resolución: 18/10/2010 (más información)

No hay comentarios:

Publicar un comentario