Mensajes

Te mando varios artículos de interés:

https://mobincube.zendesk.com/hc/es/articles/206743836-Art%C3%ADculos-Como-crear-una-App-basada-en-GPS-

https://www.it-swarm-es.com/es/android/crear-una-android-aplicacion-de-rastreo-gps/971844012/

Saludos

Ese post lo realicé yo hace semanas... Y es otra página web, y siguen con el error a pesar de que han cambiado la interfaz grafica de la pagina...
A pesar que les haya avisado del error a varios miembros de esa organización...Una vergüenza...

Soy de España, esa es la cosa, no soy de Paraguay...
Algun periódico que me recomiendes para hacer eso...
Saludos y gracias

A saber el tinglao que tienen montado los Paraguayos...

Llevo intentando contactar con ellos varias veces, ningun departamento de la policía de Paraguay me lo coge, pero ni uno.
Los únicos, el propio ministerio de industria que me dan un numero que tampoco me lo cogen.
La interpol de Paraguay me lo coge, pero me dicen que llame al departamento de la policía de paraguay que es 24h (Previamente llamé, y nadie lo coge) se lo digo, y dice que me lo tienen que coger.
Vuelvo a llamar, adivina qué, nadie lo coge. De locos.
Que cojones hago XD

Buenas tardes,
Esta mañana estaba analizando una pagina web, en búsqueda de posibles fallos que visualicé gracias a errores de la propia página y pues... realizando técnicas de indexación mediante dorks, he encontrado de casualidad errores de seguridad en esta página:

https://www.mic.gov.py/

Información sensible: Mediante técnicas de Directory traversal y dorks se puede encontrar:
Todos los archivos, formularios, documentos de la página web.
Una copia de seguridad de esta página web y la anterior con su respectiva información.
(Desconozco si hay usuarios y contraseñas, o cuentas de los administradores, no he indagado tanto, a sido estos fallos, y venirme aquí corriendo a pedir ayuda)

Todo esto se muestra en el explorador de archivos del navegador, intuyo que los permisos de las carpetas están mal configuradas.
No pongo imágenes ni más información para evitar que se adelante alguna mala persona.

Donde puedo reportar esto, si podéis facilitarme la información se agradecería, no pido compensación económica a cambio ni nada, solo reportar esto. Un saludo y muchas gracias

Actualización: Ya informé a la organización competente hace 1 mes, y nadie ha corregido nada, sigue exactamente la misma vulnerabilidad...
Repito, este fallo expone a cientos de personas a una violación de la ley de protección de datos...
Ya no se que hacer, estoy por presentarme a la policía para comentarles esto.
No lo hago por mi, lo hago por la integridad de esas cientos de personas.
¿Algún consejo?...

También se llamada "OpenDir" es muy habitual.

Se puede incluso buscar en Google vía "index of"

Mira un ejemplo de hoy mismo en Argentina, de Cristian Borghello de segu-info.com.ar lo ha denunciado en Twitter y ya:

https://twitter.com/SeguInfo/status/1405540906602618881

Ostras, muy interesante.

¿ "Directory Listing" o  "Directory traversal"?

Directory traversal sería acceder vía ..// y similares, y Directory Listing simplemente se muestran los directorios por defecto.

No sé porque tenéis algunos tanto miedo a denunciar o reportar vulnerabilidades. Si no has hecho un mal uso (por ejemplo bajarte los ficheros csv y venderlos) pues no tienes nada que temer.

Al revés, les estás ayudando a corregir un error y evitar un mal mayor.

Hacking is not a crime

Ambos, pues puedes acceder a esos recursos con /../../../ además puedes visualizar algunos directorios y recursos, un saludo✌️

Respondo a tu duda, usan cPanel y el hosting es OVH.com
Las bases de datos la tienen en un directorio en concreto como archivos .CSV, la típica página en blanco con el nombre de varios ficheros donde muestran la siguiente información: Name   Last modified   Size   Description y si pulsas sobre el archivo te lo descarga automáticamente.
Espero haberte solucionado la duda