Skip to content

supaplex.info Posts

Un simple phpinfo

Hace no mucho pude comprobar que muchas empresas de hosting tienen en sus servidores un archivo con la función phpinfo por defecto, para que los clientes puedan comprobar qué tiene el servidor instalado y así también servir de prueba cuando un cliente se empecine en que no está instalado el módulo tal y cosas por el estilo.

El problema es que a veces no se dan cuenta de que pueden revelar cierta información, y con un poco de suerte esta información puede provocar que un atacante, obtenga información privilegiada.

info

Como podemos ver, hay un PATH que apunta a un directorio que nos llama la atención. El caso es que hay alguien dentro, en ese directorio y seguramente estuvo modificando algo con un editor. Al entrar en ese directorio traducido a URL…

profile

Y como podemos ver, se olvidaron de restringir este directorio de este tan conocido sistema hecho en PHP para dar soporte a los clientes vía CHAT. Luego no tenemos más que entrar en la dirección de administrador, usar la información capturada y leer conversaciones de distintos departamentos.

Esto conlleva a dejar expuestos datos de usuarios y contraseñas de los clientes, así como datos bancarios.

Siempre hay que pensar en lo peor y ser paranoicos. No olvides que por pocas probabilidades de que alguien encuentre algo que te afecte, se tiene que arreglar. Si se deja algo olvidado, quién sabe de qué forma se podrá usar mañana para poder acceder al sistema o a información privilegiada.

Leave a Comment

Comenzamos

Desde siempre he tenido que abrirme paso yo solo. Llevo muchos años dedicándome a sistemas, interesado por la seguridad, leyendo infinidad de documentos cuando era más jóven y que ahora no leo por falta de tiempo.

En este blog dedicaré parte de mi tiempo a escribir lo poco que sé sobre seguridad informática y es que como diría alguien con el que tuve el placer (¿y desgracia?) de trabajar: “lo único que me diferencia de ti es que yo soy mucho más cabezón que tú”.

También quiero decir que no soy un experto en seguridad, eleet o algo parecido. Sólo uno más.

Leave a Comment