RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Archive for the ‘ Remote File Inclusion ’ Category

rfi

Hace unas 02 semanas aprovechando que no tenía nada importante que hacer me puse a analizar la seguridad de una página web de una empresa peruana, sólo porque quise, ni mas ni menos, sólo me tiré en la cama como una ballena recién varada en la orilla de una playa y comencé mi faena.

Debo reconocer que la página debe haber invertido en un buen diseñador gráfico – que debe haber cobrado un buen dinero dicho sea de paso – pero definitivamente no es un buen programador y ha despilfarrado código PHP sin tener la mas mínima idea de conceptos de seguridad, dando origen a una pelotudez bastante gastada y una épica vulnerabilidad web, RFI.

Si yo fuera el que lo contrató lo cogería del cogote y le pediría un reembolso de mi dinero con algún tipo de subsanación por los posibles daños y perjuicios ocasionados (ojala nadie haya explotado la vulnerabilidad), bueno al verificar la gravedad de la vulnerabilidad mi mirada se quedó clavada en la pantalla y no podía creer todo lo que estaba encontrando, en fin…. si fuera uno de esos disque Anonymous hubiera inventado alguna triquiñuela estúpida para publicar la información allí encontrada o hubiera hecho un defacement de la página web pero…. hacer eso hubiera opacado este post y obviamente yo no pienso igual que esos señores.

Bueno aquí les dejo el video tutorial que realicé sobre Remote File Inclusion, la presentación y recursos utilizados en el video. Saludos.

  • Descargar la presentación: [AQUÍ]
  • Descargar los SCRIPTs utilizados en el video: [AQUÍ] – si usas Windows seguro tu antivirus lo detectará como virus.

Popularity: 35% [?]