Vulnerabilidad Directory traversal encontrada, ayuda.

Iniciado por Trollwer, 17 Junio 2021, 09:45 AM

0 Miembros y 3 Visitantes están viendo este tema.

Trollwer

Buenas tardes, me gustaría que me ayudaseis a como puedo redactar este fallo de seguridad en un documento, con el fin de mandarles dicho documento al responsable de la página web y que lo corrija, agradezco consejos.
Información que se ve comprometida:
En este caso, solo puedes navegar entre unos pocos directorios, por ejemplo, ver todos los documentos subidos a la página web, pero donde realmente está el problema, es que puedes ver y descargar las bases de datos de lo usuarios con sus respectivos números de teléfonos, DNI, nombres, apellidos, fechas de nacimiento, país, comunidad autónoma, correos electrónicos.
Quiero dejar claro que en ningún momento he usado ni usaré este tipo información con fin lucrativo, simplemente, para ayudar a mejorar la seguridad de esta entidad. (Y por curiosidad, ¿me puedo meter en un lio por ayudarles?) También me gustaría comentar que tengo varios contactos personales con miembros de dicha entidad, que están en puestos altos (por si os sirve de algo)
Un cordial saludo.
▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂

Xyzed

Hola.

Depente del país y la legislación corriente, además del estilo de quien lee la redacción enviada, puedes meterte en un problema o no.

El escrito lo tienes que realizar formalmente y sin muchos rodeos, al fin y al cabo por lo que mencionas, tu los estás ayudando a ellos, así que no les debes nada.
Un correo electrónico a una autoridad del sitio seguramente sea la mejor opción.
Probablemente te ignoren, sí optan por eso, no insistas.

Si tenes suerte y responden, tendrás que dar explicaciones de lo que hiciste simplemente, y más que seguro que ellos mismos y su equipo solucionen el problema.

Cita de: Trollwer en 17 Junio 2021, 09:45 AM
pero donde realmente está el problema, es que puedes ver y descargar las bases de datos de lo usuarios

No me quedo claro como desde los directorios puedes ver las bases de datos y acceder a la información, ¿qué gestor utilizan?

Saludos y felicidades por tu buena voluntad de hacer todo el procedimiento sin ningún fin lucrativo  :rolleyes:
...

Trollwer

Respondo a tu duda, usan cPanel y el hosting es OVH.com
Las bases de datos la tienen en un directorio en concreto como archivos .CSV, la típica página en blanco con el nombre de varios ficheros donde muestran la siguiente información: Name   Last modified   Size   Description y si pulsas sobre el archivo te lo descarga automáticamente.
Espero haberte solucionado la duda ;)
▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂

el-brujo

¿ "Directory Listing" o  "Directory traversal"?

Directory traversal sería acceder vía ..// y similares, y Directory Listing simplemente se muestran los directorios por defecto.

No sé porque tenéis algunos tanto miedo a denunciar o reportar vulnerabilidades. Si no has hecho un mal uso (por ejemplo bajarte los ficheros csv y venderlos) pues no tienes nada que temer.

Al revés, les estás ayudando a corregir un error y evitar un mal mayor.

Hacking is not a crime

Trollwer

Cita de: el-brujo en 17 Junio 2021, 18:12 PM
¿ "Directory Listing" o  "Directory traversal"?

Directory traversal sería acceder vía ..// y similares, y Directory Listing simplemente se muestran los directorios por defecto.

No sé porque tenéis algunos tanto miedo a denunciar o reportar vulnerabilidades. Si no has hecho un mal uso (por ejemplo bajarte los ficheros csv y venderlos) pues no tienes nada que temer.

Al revés, les estás ayudando a corregir un error y evitar un mal mayor.

Hacking is not a crime



Ambos, pues puedes acceder a esos recursos con /../../../ además puedes visualizar algunos directorios y recursos, un saludo✌️
▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂

el-brujo

También se llamada "OpenDir" es muy habitual.

Se puede incluso buscar en Google vía "index of"

Mira un ejemplo de hoy mismo en Argentina, de Cristian Borghello de segu-info.com.ar lo ha denunciado en Twitter y ya:

https://twitter.com/SeguInfo/status/1405540906602618881


Xyzed

Cita de: el-brujo en 17 Junio 2021, 18:12 PM
No sé porque tenéis algunos tanto miedo a denunciar o reportar vulnerabilidades. Si no has hecho un mal uso (por ejemplo bajarte los ficheros csv y venderlos) pues no tienes nada que temer.

Al revés, les estás ayudando a corregir un error y evitar un mal mayor.

Hacking is not a crime
Hola.

El asunto del Opendir, es tal cual dices, bastante común, pero al fin y al cabo es ilegal (al menos según la legislación de Argentina).

Citar
Ley de delitos informáticos: 26.388.

ARTICULO 4º — Sustitúyese el artículo 153 del Código Penal, por el siguiente:

Artículo 153: Será reprimido con prisión de quince (15) días a seis (6) meses el que abriere o accediere indebidamente a una comunicación electrónica, una carta, un pliego cerrado, un despacho telegráfico, telefónico o de otra naturaleza, que no le esté dirigido; o se apoderare indebidamente de una comunicación electrónica, una carta, un pliego, un despacho u otro papel privado, aunque no esté cerrado; o indebidamente suprimiere o desviare de su destino una correspondencia o una comunicación electrónica que no le esté dirigida.

Es como mencionas, varios sitios no tienen las rules definidas para prohibir la visita, por lo que si: sin querer ingresas al sitio y lo reportas no sucedería absolutamente nada, pero en caso de haber descargado uno te podrían abrir una investigación (aunque realmente la ley acá existe pero deja mucho que desear la aplicación de la misma)...

Saludos.
...

Trollwer

Cita de: el-brujo en 17 Junio 2021, 23:24 PM
También se llamada "OpenDir" es muy habitual.

Se puede incluso buscar en Google vía "index of"

Mira un ejemplo de hoy mismo en Argentina, de Cristian Borghello de segu-info.com.ar lo ha denunciado en Twitter y ya:

https://twitter.com/SeguInfo/status/1405540906602618881



Ostras, muy interesante.
▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂

Trollwer

Actualización: Ya informé a la organización competente hace 1 mes, y nadie ha corregido nada, sigue exactamente la misma vulnerabilidad...
Repito, este fallo expone a cientos de personas a una violación de la ley de protección de datos...
Ya no se que hacer, estoy por presentarme a la policía para comentarles esto.
No lo hago por mi, lo hago por la integridad de esas cientos de personas.
¿Algún consejo?...
▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂

leak

#9
-