viernes, 18 de abril de 2014

Mi Primer día en la universidad Privada San Juan Bautista



UNIVERSIDAD PRIVADA SAN JUAN BAUTISTA

Saludos mis fieles lectores y seguidores de mi humilde blog,bueno en esta oportunidad narrare  una anécdota que me paso en mis primeros días en la universidad, este POST lo quería hacer cuando estuve en la "PRE", Esto se basa el 27 de enero de este presente año, ya que esta auditoria se realizo en ese entonces,pero bueno comencemos! 

Motivado como cualquier chico que desea ser alguien en la vida tuve la gran oportunidad que mis padres me dieran el estudio de estudiar en esta prestigiosa universidad , la cual estoy totalmente agradecido por ello y siempre lo estaré.

continuando con lo siguiente, me puso a pensar porque NO AUDITAR MI UNIVERSIDAD ?
para ser sincero a mi me encanta auditar los sistemas web en toda su plataforma en general y ver sus sectores mas vulnerables para realizar una pequeña penetración , claro sin alterar nada 

Primero utilice una búsqueda de identificador llamado "Dorking" de esta manera " site:upsjb.edu.pe " , solo para identificar de manera manual algo rapido !, algo interesante que vi es que el panel de administracion de la bolsa de valores estaba como " http://www.upsjb.edu.pe/bolsat/login.aspx " , los que ya tienen algo de conocimiento sobre el tema de Bypass , el lenguaje de programacion mas vulnerado a este tipo de ataques es " aspx ", porque genera códigos opcionales de registro por una mala filtración del algoritmo mal estructurado.

Metodo de Ataque

El usuario : ' or 1=1--

Password :  ' or 1=1--



Este ataque fue hecho desde un Internet publico sin nada de programas ,solamente utilice la mente y mis conocimientos basándome en el lenguaje de programación y sobre todo la evacion de identificación de usuarios como el Bypass 
"Para darle el aviso al Webmaster no lo reporte si no que utilice varias IP'S para conectarme  y para que se diera cuenta y fue algo gracioso porque al mes se dieron cuenta un día antes del examen de "ADMISIÓN" 

Llegando ya a mi ordenador,se me ocurrió dar otra auditoria pero en una forma "Estandar", Auditando ya sea el dominio general y sus subdominios,algo interesante que vi fue el Moodle instalado en la web en unos de sus subdominios, pero no tenia un error de bajo nivel ni alto,entonces dije " jajajaja vamos a lo  que venga", luego de ello analice el punto principal de la  web y me encontré con una Cadena de errores estructurados e información del servidor  :

Discloure Path !

 VPS PRIVADO 

C:\inetpub\wwwroot\Portales\AUPSJB\
C:\inetpub\wwwroot\Portales\AUPSJB\evento\evento
C:\inetpub\wwwroot\Portales\AUPSJB\universidad\

Errores estructurados de base de datos.




Algo que me dio curiosidad es que en ese entonces dicho parametros "GET" , tenian la proteccion con un "Firewall" muy conocido ^_^

<html><head><title>Attack Detected</title></head><body>

Bueno no quiero dar el método de infiltración de base de datos y el parametro vulnerable correcto por ética , ni lo demás Saludos.




4 comentarios:

  1. Te felicito de verdad por el trabajo hecho, creo que también estudias la misma carrera que yo, me haces recordar cuando también tenia mucha curiosidad por esos temas jajaja :') muchas bendiciones y éxitos.

    ResponderEliminar

Datos del Autor


Obra de K. Haring

Hola, mi nombre es omar soy estudiante de Ingenieria de sistemas en Perú. actualmente me estoy dedicando a dar ponencias sobre seguridad Informática.
Soy una persona sencilla y humilde que me encanta aprender nuevos temas en mis tiempos libres.


"Me considero un novato en busca de conocimiento"


Entradas Populares