martes, 12 de junio de 2012

SQL Injection - Instituto Nacional de Estadísticas Chile


Bueno, como ya todos sabemos que la mayoría de los sitios webs que pertenecen al Gobierno o alguna entidad perteneciente al mismo de cualquier país; tienen las típicas vulnerabilidades como el famoso SQL Injection; dado así que cualquier persona que sepa utilizar alguna Tool que explote la misma, pueda llegar a obtener toda la información que contiene el sitio web, en este caso la INE de Chile.

Pero que coño, si en Chile tienen buenos programadores e informáticos, que por cierto los mejores laboran en el Gobierno, pero en este caso parece que no, porque actualmente esta web perteneciente al Gobierno es vulnerable y los programadores no tienen conocimiento de dicha vulnerabilidad ya que hasta la actualidad dicha web sigue vulnerable y no se toman el tiempo de al menos revisarla.

Veremos su base de datos un poco mas detallada:



###################################################################
INSTITUTO NACIONAL DE ESTADÍSTICAS - INE CHILE
Website         : http://www.ine.cl/
Vulnerability   : SQL Injection
###################################################################

BASE DE DATOS:
+--------------------------------------+
| VIEW_LISTA_NOTICIAS_PUBLICADAS       |
| VIEW_PERFILES_ACCESOS_ACCION_REGION  |
| VIEW_USUARIOS_PEFILES                |
| VW_SELECT_ARCHIVOS                   |
| VW_SELECT_NOTICIAS_RSS               |
| VW_SELECT_RSS_INDICADORES            |
| VW_VALOR_TOTAL_VALORES               |
| grafico_marquesina                   |
| indicador_economico                  |
| indicador_periodico                  |
| indicador_tipo                       |
| indicadores_economicos               |
| mes_indicador                        |
| noticias                             |
| noticias_accesos                     |
| noticias_accion                      |
| noticias_descargable                 |
| noticias_log                         |
| noticias_online                      |
| noticias_perfiles                    |
| noticias_regiones                    |
| noticias_usuario                     |
| noticias_viejo                       |
| noticias_vp                          |
| periodo_indicador_periodico          |
| tipo_indicador                       |
| tree                                 |
| valor_indicador                      |
| valor_indicador_periodico            |
| view_lista_noticias_publicadas       |
| view_noticias_detalle                |
| view_noticias_detalle_vp             |
| view_noticias_log                    |
| view_noticias_publicacion_ine        |
| view_noticias_publicacion_ine_eng    |
| view_orden_portada_ine               |
| view_perfiles_accesos_accion_region  |
| view_select_noticias_editar_esp      |
| view_usuarios_pefiles                |
| vw_descargable_tree                  |
| vw_select_datos_grafico              |
| vw_select_descarga                   |
| vw_select_indicador_economico        |
| vw_select_indicador_periodico        |
| vw_select_indicador_periodico_year   |
| vw_select_noticias_editar_esp        |
| vw_select_noticias_listanoticias_esp |
| vw_select_periodico                  |
| vw_select_periodico_eng              |
| vw_select_tipo_indicador             |
| vw_select_titulo_indicador           |
| vw_select_valor_indicador_economico  |
| vw_select_year                       |
| vw_usuariosperfiles                  |
+--------------------------------------+

Table: vw_usuariosperfiles
[10 columns]
+------------------+------------------+
| Column           | Type             |
+------------------+------------------+
| APELLIDO_MATERNO | varchar(45)      |
| APELLIDO_PATERNO | varchar(45)      |
| EMAIL            | varchar(45)      |
| ID               | int(10) unsigned |
| ID_PERFIL        | int(10) unsigned |
| NOMBRES          | varchar(50)      |
| PASSWORD         | varchar(100)     |
| PERFIL           | char(45)         |
| RUT              | varchar(45)      |
| USUARIO          | varchar(100)     |
+------------------+------------------+

Table: vw_usuariosperfiles
[11 entries]
+---------------------+
| NOMBRES             |
+---------------------+
| Andrew James        |
| Isabel              |
| Nidia Andrea        |
| Veronica Gabriela   |
| Paula Andrea        |
| Cristian            |
| Matias              |
| Hugo                |
| Cynthia del Carmen  |
| Claudia             |
| Andres              |
+---------------------+

Table: vw_usuariosperfiles
[11 entries]
+------------------------+
| APELLIDO_PATERNO       |
+------------------------+
| Carter Enrione         |
| Rivas Sepulveda        |
| Bustamante Caceres     |
| Rudloff Gonzalez       |
| Villarroel Arestizabal |
| Contardo Douglas       |
| Barrena Caceres        |
| Vega Elizondo          |
| Aceituno Pacheco       |
| Meza Morillo           |
| Aguayo                 |
+------------------------+

Son muchos datos que se puede dumpear, y algún "hacker" sin ética, podría aprovecharse de la misma para obtener algo de dinero.

Dicha vulnerabilidad ya fue respectivamente reportada y esperando sea arreglada.

Saludos.

1 comentario:

  1. ni chile se salva...ta jodido latinoamerica

    ResponderEliminar