Páginas: [1] 2 
|
 |
|
 Autor
|
Tema: Que hacer al encontrar una vulnerabilidad (Leído 2066 veces)
|
PaPeRrO
 Conectado
Mensajes: 394
You Are Being Monitored
|
acabo de encontrar un blind sql inyection en jazztel.com no he encontrado la tabla de usuarios o login pero si que puedo por ejemplo leer el archivo etc/passwd e ir sacando los valores. mi duda es: aviso a jazztel? ahora o juego un poco mas para comprobar que realmente es peligrosa?por cierto a alguien se le ocurre cual puede ser el nombre de la tabla? jaja  PD: pense que jazztel seria mucho mas segura despues de que la hackearan, o que? |
|
|
|
« Última modificación: 12 Agosto 2008, 16:48 por sirdarckcat »
|
En línea
|
|
|
|
741852
 Desconectado
Mensajes: 1.602
Central, Pont Aeri, Kontrol, Mansion, Masia...(L)
|
hombre lo del archivo etc/passwd está encriptado el contenido....
si quieres "juega" algo a ver cuan peligrosa es la vulnerabilidad
pero igualmente avísales.. espero que te lo agradezcan que hay cada cual
que se enfada porque les avises de que tienen vulnerabilidades :S
salu2 y no hagas maldades ¬¬
|
|
|
|
|
En línea
|
since 1992 there's a club wich is making history, seven years later in 1999 it's still kicking!, PONT AERI!
..... and in 2008 IT'S STILL KICKING !!!
pont aeri siempre
hardcore for life [H4L]
|
|
|
PaPeRrO
Conectado
Mensajes: 394
You Are Being Monitored
|
si, por eso tengo dudas, por si se enfadan, pero bueno, si se enfadan que se enfaden, es su problema no el mio.no? etc/passwd esta encriptado si de la misma manera podria leer otro archivo de configuracion del servidor, httpd.conf, ssh lo que sea
|
|
|
|
|
En línea
|
|
|
|
|
sirdarckcat
|
si se enfadan te demandan.. y si quieres jugartela, acabas de cometer el grave error de admitir publicamente que tienes acceso a jazztel.
creo que la unica opcion que te queda es avisarles.. y ten en cuenta que si le sigues podrias meterte en problemas..
Saludos!!
|
|
|
|
|
En línea
|
|
|
|
PaPeRrO
Conectado
Mensajes: 394
You Are Being Monitored
|
ayer ya intente ponerme en contacto con ellos, si hasta el martes no contestan les llamare por telefono.
represalias? de que,no he accesdido a ningun dato.
si tomasen represalias ya me encargaria yo de que les montaran un pollo por toda la blogosfera, incluso tengo amigos columnistas en periodicos tradicionales.
seria muy mala publicidad para ellos demandarme. ademas el proximo que encontrara otra vulnerabilidad la explotaria sin avisar.
estoy haciendo lo correcto, sin duda. lo minimo que pueden hacer es dar las gracias.
|
|
|
|
|
En línea
|
|
|
|
|
sirdarckcat
|
Repito, si le sigues podrias meterte en problemas, si le sigues, y no te recomendaria que les amenazaras a ellos con eso de los periódicos.
Nadie dice que no estes haciendo lo correcto, mi mensaje era en respuesta a:o juego un poco mas para comprobar que realmente es peligrosa?.
|
|
|
|
|
En línea
|
|
|
|
PaPeRrO
Conectado
Mensajes: 394
You Are Being Monitored
|
jeje en ningun caso les amenazaria! para nada. solo que si intentasen tomar represalias les iva a salir el tiro por la culata, ademas segun tengo entendido al ser la web vulnerable y estar datos de 3º al descubierto no estan cumpliendo la LOPD, y si les avisas y no tapan el agujero de inmediato estan con el culo al aire.
y sobre si le sigo, esta claro, si sigo jugando tienen razones para mosquearse, por eso lo he dejado en paz. bueno, a ver si mañana (lunes) me contestan.
gracias por tus consejos sirdarckcat! muy utiles.
ya me ayudaste en otro hilo con otra inyeccion sql, que aunque todavia no la he logrado he aprendido un monton.
|
|
|
|
|
En línea
|
|
|
|
|
el novato de la red...
|
Lo mas recomendable es que publiques una noticia en youtube.com, o en alguna estacio noticiera en linea. Para Avisandoles de la vulnerabilidad dandole unos dias de plazo, si ellos no acceden lo demas ya dependera de ti hermano. Oye mejor create un video y ponlo en youtube. Y mandalo a una estación noticiera y ellos se encargaran de lo demas. Diles que eres un hacker, pero que no quieres problemas y que precisamente por eso estas avisnadod e la vulnerabilidad.  |
|
|
|
|
En línea
|
|
|
|
Teddy Picker
Desconectado
Mensajes: 88
Pollo6
|
acabo de encontrar un blind sql inyection en jazztel.com
no he encontrado la tabla de usuarios o login pero si que puedo por ejemplo leer el archivo etc/passwd e ir sacando los valores. mi duda es:
Si es blind sql tardaras semanas para sacar el /etc/passwd... Por otra parte la web de Jazztel esta llena de esos tipos de bugs (hasta D.O.M les dejo una firmita hace unos meses...), parece que no priorizan seguridad... Lo mas recomendable es que publiques una noticia en youtube.com, o en alguna estacio noticiera en linea.
Para Avisandoles de la vulnerabilidad dandole unos dias de plazo, si ellos no acceden lo demas ya dependera de ti hermano.
Oye mejor create un video y ponlo en youtube.
Y mandalo a una estación noticiera y ellos se encargaran de lo demas.
Diles que eres un hacker, pero que no quieres problemas y que precisamente por eso estas avisnadod e la vulnerabilidad.
Ni se te ocurra, asi probaras que has tenido acceso a Jazztel, te puede ir mucho peor, si sigues jugando mas puede que se den cuenta y en verdad se cabreen. Avisarles sera lo mejor.  |
|
|
|
|
En línea
|
... ¿Tienes dudas? ¿Verguenza de expresarlas?... ¿Recien empiezas?....  Entonces esta es tu web de incio |
|
|
|
|
|
|
duomix
Desconectado
Mensajes: 8
|
xDDDDDDd me parece ami que lo apresaron jejeej
es broma xD
|
|
|
|
|
En línea
|
|
|
|
Eazy
Desconectado
Mensajes: 248
Eazy [FM-Team]
|
Hahaha, ya ta en cana por dolobu ^^
|
|
|
|
|
En línea
|
  [/url] |
|
|
skapunky
Electronik
Colaborador
Desconectado
Mensajes: 1.321
www.killtrojan.es
|
represalias ya me encargaria yo de que les montaran un pollo por toda la blogosfera, incluso tengo amigos columnistas en periodicos tradicionales. Con eso solo conseguirias hacerle publicidad a jazztel y quedarian como si fueran heroes apresando a un hacker. Digo hacker porque parece que la sociedad y los medios a todo le llaman hacker. Ademas nuestra sociedad no tiene muy bien vista por desgracia estas acciones aunque no tengan mala intención. |
|
|
|
|
En línea
|
|
|
|
|
sirdarckcat
|
Última vez activo: Ayer a las 12:30
|
|
|
|
|
En línea
|
|
|
|
|
Páginas: [1] 2 
|
|
|
 |
