Hace no mucho pude comprobar que muchas empresas de hosting tienen en sus servidores un archivo con la función phpinfo por defecto, para que los clientes puedan comprobar qué tiene el servidor instalado y así también servir de prueba cuando un cliente se empecine en que no está instalado el módulo tal y cosas por el estilo.

El problema es que a veces no se dan cuenta de que pueden revelar cierta información, y con un poco de suerte esta información puede provocar que un atacante, obtenga información privilegiada.

Como podemos ver, hay un PATH que apunta a un directorio que nos llama la atención. El caso es que hay alguien dentro, en ese directorio y seguramente estuvo modificando algo con un editor. Al entrar en ese directorio traducido a URL…

Y como podemos ver, se olvidaron de restringir este directorio de este tan conocido sistema hecho en PHP para dar soporte a los clientes vía CHAT. Luego no tenemos más que entrar en la dirección de administrador, usar la información capturada y leer conversaciones de distintos departamentos.

Esto conlleva a dejar expuestos datos de usuarios y contraseñas de los clientes, así como datos bancarios.

Siempre hay que pensar en lo peor y ser paranoicos. No olvides que por pocas probabilidades de que alguien encuentre algo que te afecte, se tiene que arreglar. Si se deja algo olvidado, quién sabe de qué forma se podrá usar mañana para poder acceder al sistema o a información privilegiada.