viernes, 25 de mayo de 2018

Accerder a las pruebas de la Sociedad de profesores de Matemáticas de la Rioja graias a una default password

Es muy triste que muchas webs, por culpa de la falta de cultura en materia de seguridad, permitan un acceso asquerosamente sencillo a sus sistemas. No se debería tener un acceso a, por ejemplo, una base de datos si ese panel tiene una default password para acceder.


La experiencia te dice que cuando te topas una web cuyo acceso es mediante un login.php, es muy probable que las credenciales sean admin:admin, por lo que si sabes que en la url tiene que aparecer login.php, nos basta con tirar de Google Hacking y a probar.


Como vemos, hay varios resultados, por lo que solamente tendremos que ir probando cada web y probar con admin:admin.


En esta web de la Sociedad de profesores de Matemáticas de la Rioja tenemos un formulario con el usuario y contraseña, un login con contraseñas por defecto.


Escribimos la contraseña por defecto y tenndremos acceso a todo el sitio, y ¡ojo! como administradores.


Y podremos acceder a los resultados de pruebas como esta del 21/02/2018. Esto, por cuestiones obvias, es algo muy peligroso y que no está siendo debidamente protegido. Pero el problema es que hay muchos más sitios como este con el mismo acceso por defecto, lo que incrementa la peligrosidad.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...