miércoles, 25 de mayo de 2011

Vulnerabilidad en la web del CIS

Hacia tiempo que no me topaba con ninguna vulnerabilidad SQL, quien sabe, tal vez sea que no miré suficiente o que me llaman más la atención otras cosas pero el caso es que con motivo de las recientes elecciones autonómicas me ha dado por visitar la página del CIS y me he topado con una sección "protegida" por usuario y contraseña, concretamente la sección Acceso a Microdatos


Si intentamos acceder con cualquier email y contraseña podemos ver que los datos en enviados por GET


Pero lo más interesante es ver que el formulario no realiza ninguna validación sobre los datos introducidos por el usuario por lo que si introducimos una comilla simple en cualquiera de los campos (o incluso modificando los valores de los parámetros de la URL) obtenemos un mensaje de error bastante claro.


Lo que nos hace pensar que la página es vulnerable a inyección SQL y que se podría obtener información de la base de datos aunque también nos da que pensar que podríamos entrar sin conocer el usuario y contraseña simplemente haciendo que la consulta devuelva algún registro, es decir, añadiéndole el típico OR 1=1, en este caso OR '1'='1

Accediendo a la siguiente URL modificada

http://www.cis.es/.../accesousuarios.jsp?email=prueba&clave=prueba' or '1'='1

o bien introduciendo los siguientes datos en el formulario de acceso:

Email: prueba
Clave: prueba' or '1'='1

podremos acceder al menú de uno de los usuarios registrados


El problema fué reportado el 24/05/2011 y corregido el 26/05/2011.

No hay comentarios:

Publicar un comentario