Autor
|
Tema: Vulnerabilidad Directory traversal encontrada, ayuda. (Leído 8,677 veces)
|
Trollwer
Desconectado
Mensajes: 123
C:\Users\%Username%\Desktop
|
Buenas tardes, me gustaría que me ayudaseis a como puedo redactar este fallo de seguridad en un documento, con el fin de mandarles dicho documento al responsable de la página web y que lo corrija, agradezco consejos. Información que se ve comprometida: En este caso, solo puedes navegar entre unos pocos directorios, por ejemplo, ver todos los documentos subidos a la página web, pero donde realmente está el problema, es que puedes ver y descargar las bases de datos de lo usuarios con sus respectivos números de teléfonos, DNI, nombres, apellidos, fechas de nacimiento, país, comunidad autónoma, correos electrónicos. Quiero dejar claro que en ningún momento he usado ni usaré este tipo información con fin lucrativo, simplemente, para ayudar a mejorar la seguridad de esta entidad. (Y por curiosidad, ¿me puedo meter en un lio por ayudarles?) También me gustaría comentar que tengo varios contactos personales con miembros de dicha entidad, que están en puestos altos (por si os sirve de algo) Un cordial saludo.
|
|
|
En línea
|
▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂
|
|
|
Xyzed
Desconectado
Mensajes: 307
|
Hola. Depente del país y la legislación corriente, además del estilo de quien lee la redacción enviada, puedes meterte en un problema o no. El escrito lo tienes que realizar formalmente y sin muchos rodeos, al fin y al cabo por lo que mencionas, tu los estás ayudando a ellos, así que no les debes nada. Un correo electrónico a una autoridad del sitio seguramente sea la mejor opción. Probablemente te ignoren, sí optan por eso, no insistas. Si tenes suerte y responden, tendrás que dar explicaciones de lo que hiciste simplemente, y más que seguro que ellos mismos y su equipo solucionen el problema. pero donde realmente está el problema, es que puedes ver y descargar las bases de datos de lo usuarios
No me quedo claro como desde los directorios puedes ver las bases de datos y acceder a la información, ¿qué gestor utilizan? Saludos y felicidades por tu buena voluntad de hacer todo el procedimiento sin ningún fin lucrativo
|
|
|
En línea
|
|
|
|
Trollwer
Desconectado
Mensajes: 123
C:\Users\%Username%\Desktop
|
Respondo a tu duda, usan cPanel y el hosting es OVH.com Las bases de datos la tienen en un directorio en concreto como archivos .CSV, la típica página en blanco con el nombre de varios ficheros donde muestran la siguiente información: Name Last modified Size Description y si pulsas sobre el archivo te lo descarga automáticamente. Espero haberte solucionado la duda
|
|
|
En línea
|
▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂
|
|
|
el-brujo
|
¿ "Directory Listing" o "Directory traversal"?
Directory traversal sería acceder vía ..// y similares, y Directory Listing simplemente se muestran los directorios por defecto.
No sé porque tenéis algunos tanto miedo a denunciar o reportar vulnerabilidades. Si no has hecho un mal uso (por ejemplo bajarte los ficheros csv y venderlos) pues no tienes nada que temer.
Al revés, les estás ayudando a corregir un error y evitar un mal mayor.
Hacking is not a crime
|
|
|
En línea
|
|
|
|
Trollwer
Desconectado
Mensajes: 123
C:\Users\%Username%\Desktop
|
¿ "Directory Listing" o "Directory traversal"?
Directory traversal sería acceder vía ..// y similares, y Directory Listing simplemente se muestran los directorios por defecto.
No sé porque tenéis algunos tanto miedo a denunciar o reportar vulnerabilidades. Si no has hecho un mal uso (por ejemplo bajarte los ficheros csv y venderlos) pues no tienes nada que temer.
Al revés, les estás ayudando a corregir un error y evitar un mal mayor.
Hacking is not a crime
Ambos, pues puedes acceder a esos recursos con /../../../ además puedes visualizar algunos directorios y recursos, un saludo✌️
|
|
|
En línea
|
▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂
|
|
|
|
Xyzed
Desconectado
Mensajes: 307
|
No sé porque tenéis algunos tanto miedo a denunciar o reportar vulnerabilidades. Si no has hecho un mal uso (por ejemplo bajarte los ficheros csv y venderlos) pues no tienes nada que temer.
Al revés, les estás ayudando a corregir un error y evitar un mal mayor.
Hacking is not a crime
Hola. El asunto del Opendir, es tal cual dices, bastante común, pero al fin y al cabo es ilegal (al menos según la legislación de Argentina). Ley de delitos informáticos: 26.388.
ARTICULO 4º — Sustitúyese el artículo 153 del Código Penal, por el siguiente:
Artículo 153: Será reprimido con prisión de quince (15) días a seis (6) meses el que abriere o accediere indebidamente a una comunicación electrónica, una carta, un pliego cerrado, un despacho telegráfico, telefónico o de otra naturaleza, que no le esté dirigido; o se apoderare indebidamente de una comunicación electrónica, una carta, un pliego, un despacho u otro papel privado, aunque no esté cerrado; o indebidamente suprimiere o desviare de su destino una correspondencia o una comunicación electrónica que no le esté dirigida.
Es como mencionas, varios sitios no tienen las rules definidas para prohibir la visita, por lo que si: sin querer ingresas al sitio y lo reportas no sucedería absolutamente nada, pero en caso de haber descargado uno te podrían abrir una investigación (aunque realmente la ley acá existe pero deja mucho que desear la aplicación de la misma)... Saludos.
|
|
|
En línea
|
|
|
|
Trollwer
Desconectado
Mensajes: 123
C:\Users\%Username%\Desktop
|
|
|
|
En línea
|
▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂
|
|
|
Trollwer
Desconectado
Mensajes: 123
C:\Users\%Username%\Desktop
|
Actualización: Ya informé a la organización competente hace 1 mes, y nadie ha corregido nada, sigue exactamente la misma vulnerabilidad... Repito, este fallo expone a cientos de personas a una violación de la ley de protección de datos... Ya no se que hacer, estoy por presentarme a la policía para comentarles esto. No lo hago por mi, lo hago por la integridad de esas cientos de personas. ¿Algún consejo?...
|
|
|
En línea
|
▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂
|
|
|
leak
Desconectado
Mensajes: 16
|
-
|
|
« Última modificación: 28 Julio 2021, 19:49 pm por leak »
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
OC4J Directory Traversal
Nivel Web
|
sirdarckcat
|
8
|
6,284
|
28 Enero 2009, 19:18 pm
por berz3k
|
|
|
[UPDATE] DotDotPwn v2.1 - The Directory Traversal Fuzzer
Nivel Web
|
chr1x
|
2
|
3,191
|
1 Noviembre 2010, 23:45 pm
por nitr0us
|
|
|
Directory traversal
Nivel Web
|
chusrubi2
|
5
|
5,154
|
18 Octubre 2010, 21:27 pm
por chusrubi2
|
|
|
[UPDATE] DotDotPwn v2.1 - The Directory Traversal Fuzzer
Hacking
|
chr1x
|
2
|
4,672
|
14 Febrero 2012, 16:26 pm
por el-brujo
|
|
|
Vulnerabilidad de directory traversal en el servicio FTP OBEX Bluetooth de HTC
Hacking Mobile
|
el-brujo
|
1
|
3,692
|
26 Julio 2011, 08:23 am
por Gospel
|
|