sábado, 2 de agosto de 2014

RTVE lleva 3 años trabajando poco con los robots

Llevo un verano jugando con bastantes cosas de Hacking, una es lo que os voy a contra hoy. El tema de hoy son los robots.txt en RTVE, me he inspirado en un post de Chema Alonso en el 2011 hablando sobre ello y que hace unos días decidí ver si aún seguían teniendo el mismo problema, y lo que me encontré muy esperanzador no era. Este problema con los robots.txt lo tienen bastantes webs como la CasaReal que no permitía la inyección de Urdangarín y me sorprende cada vez más como no controlan esto de los robots.txt que es tan sencillo, pero que da tanto problemas.

Y esto que parece que no es nada, en el mundo de la seguridad, puede dar bastante información y de gran valor, y para un atacante que no vaya a usar esa información para nada bueno, más.

Figura 1: Robots.txt de hace unos días, tal cual hace 3 años

Como se puede ver en la captura 1, se ven cosas prohibidas como vídeos o archivos Flash, que no acabo de entender muy bien porque el administrador prohíbe...o eso creé, porque se puede ver en la siguiente que no es así.

Figura 2: Archivos .flv de la RTVE
En este caso se lo han currado bastante más dejando un solo 1 resultado de los 6.980 que había hace 3 años, lo que quiere decir que se lo han planteado y han eliminado bastantes archivos que podrían ser de gran interés para cualquier bicho-pata que pase por ahí.

De lo que también han eliminado bastante, dejando el marcador a 0, son los archivos mp3. Se han pegado un buen trabajo eliminando 169 archivos mp3.

Google va "a su bola" e inyecta todo lo que le da la gana, es por eso que si usas Google Chrome, te inyecte todo, a no ser que un sitio no tenga robots; pero en caso contrario Google Chrome se lo pasa todo a su hermano mayor Google para que lo inyecte TODO.

Figura 3: Archivos INC  de la RTVE
Pero lo que me sorprende aún más es cómo es posible que en más de 3 años hayan eliminado tan poco, porque en la figura 3, vemos 1.560 archivos .INC, de los que sí es verdad que han eliminado unos cuantos, porque antes había 3.260 archivos, pero deberían quedar muchos menos archivos después de tanto tiempo. Además si tratabas de entrar en unos de esos enlaces INC, te indicaban que la página no estaba encontrada como podemos ver en la siguiente figura.

Figura 4: Página no encontrada en una de los INC de RTVE

Pero claro está, a nosotros no nos vale con que nos digan que la página no está encontrada; nosotros tenemos que encontrar todo lo que busquemos, por eso usamos a nuestro amigo archive para que nos muestren las copias de esa URL.

Figura 5: 156 copias de la URL que hemos buscado

Como vemos nos salen que ha sido modificada 156 veces, por lo cual solo tenemos que acceder a la primera de todas para ver cómo era en su día esa URL, entonces nos vamos en este caso hasta el 2008 y...*sonido de tambores*.

Figura 6: Copia almacenada en Archive del 2008 de una medialist de RTVE

Y vemos que tampoco estaba muy decorada, con sus cuatro cosillas y ya está, aunque claro esta pereza para diseñar es comprensible viendo lo que tardan en eliminar todo lo que nos hemos ido encontrando.

Figura 7: scdweb de RTVE, solo quitan la mitad en 3 años
Y por último y no menos importante, nos encontramos con que solo han eliminado la mitad de URL scdweb en 3 años...¡Y ESO QUE HABÍA 8 AL PRINCIPIO!

Los robots son un problema que se les escapan a muchos administradores y del que se les puede sacar información bastante valiosa, por eso que es una de las cosas que deben cuidar; porque cualquiera puede acceder a ella con suma facilidad.

Saludos Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...