¿Qué confianza da una empresa que se dedica a dar sellos de "confianza" y su Web tiene un clarísimo "SQL Injection"? Para los que no lo sepan, el SQL Injection es una técnica usada por los hackers para poder inyectar en los parámetros de las direcciones Web, comandos con el fín de poder ejecutar otros códigos a los que se deberían en una página Web.
Estos comandos pueden ir desde ver toda la base de datos, borrarla, o incluir archivos en el servidor para luego acceder al mismo.
ConfianzaOnline, la principal entidad que en España da los sellos de confianza en comercio eléctronico, tiene este pequeño problema ("pequeño" en tono cínico), y tras ver una ficha de un cliente que no existía (que había pulsado en una página, a la que, supongo, no le renovaron el sello pero dejaron el enlace), me di cuenta de un error claro en la página:
ERROR: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near " at line 1
Query: SELECT * FROM wp_categorias where id=
No hace falta ser "muy programador" de páginas Web para saber que no es muy bueno poner las instrucciones y comandos internos que se usan en la base de datos en los mensajes de error de la página. Ahora ya sé que tienen una tabla que se llama wp_categorias.
Investigando un pelín más me dedico a cambiar el parámetro de la dirección web donde se especifica el código de la empresa, y veo otro error, en el que veo una posible inyección de SQL:
http://www.confianzaonline.es/adheridos/ficha-entidad-asociada/?cod=-1;BLABLA;–
ERROR: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'BLABLA;– order by url' at line 1
Query: SELECT * FROM wp_urls where eid=-1;BLABLA;– order by url
Aquí ya lo dejo, prefiero no seguir investigando y tirando del hilo, pero desde luego, que lo que no es normal es tener estos fallos en una Web que se supone venden confianza en Internet.
Y todo simplemente por una programación mal hecha cuando se borra un registro de su base de datos de una empresa con un número de identificación que no exista.
Por otra parte, viendo un poco su código fuente veo que la empresa IdeaUp, que creó la página Web, dejó un par de líneas comentadas con el entorno de pruebas donde programaron la página (http://clientes.ideup.com:4020), y que este entorno tiene algunos directorios "abiertos", lo que, seguro, investigando un poquito más podría dar algún que otro problema.
Por cierto, que usan un WordPress 2.6.3 … no quiero probar las vulnerabilidades que han sido saliendo desde entonces porque no me quiero llevar más sorpresas …
En fin, Confianza, lo que se dice Confianza … poca :) e IdeaUp, bueno, no les daría una página Web para que me la hagan :P
Bien retornado Alex!
Supongo que les habrás advertido del fallo no? entiendo que es lo más elegante.
Saludos
9 de septiembre de 2009Siempre que aquí expreso un problema de seguridad en mi blog, ha sido porque han pasado más de 7 días SIN RESPUESTA desde que lo reporto al sitio en cuestión :P
9 de septiembre de 2009Hola Alex, he llegado a tu blog por una alerta de google, y tengo que decirte que no me sorprende lo que pones del SQL injection, pq el portal es bastante patatero y hay varios enlaces rotos… Con la pasta que se han gastado en publicidad (vi un anuncio en el marca y otro en la tv) podrían haberse currado una buena web…
Salu2
9 de septiembre de 2009Yo diria varias cosas:
a) Tb puede ver que plugins tienen instalado… http://clientes.ideup.com:4020/confianza/wp-content/plugins/
b) una empresa u organismo que usa un CMS , y mas tratando se de una de la finalidad de estaa… ya deja que desear
9 de septiembre de 2009Xavy, no quiero decir nada porque incitaría quizá, pero te aseguro que lo que se puede sacar con los fallos que he iniciado , es MUCHO más que una lista de plugins en su WordPress ;)
9 de septiembre de 2009