vulnerabilidad en sitio de infracciones del DF

Lo siguiente es el colmo de la inseguridad, como si el DF no tuviera
lo suficiente para invertir en una DB de verdad.

Posiblemente ORACLE hubiera hecho mejor la chamba, aunque yo no dudaría en usar
Simplemente MySQL pues aparentemente toda la ciencia de ese portal
Se reduce a una simple consulta de una tabla ¿o cuantas tablas y dbs
Requieren para consultar una infracción?

A continuacion la nota por Sql:

Resulta que en el DF recién tienen un sistema para multar el exceso de
velocidad con un radar de fabricación alemana. Si eres infraccionado
Tienes dos opciones para saberlo:

1.-Cuando haces la verificación te sale la multota
2.-En la pagina http://www.infracciones.ssp.df.gob.mx/

Pero, pero... resulta que esta pagina tiene MS-SQL NO parchado. Ósea
Tienen la VULNERABILIDAD de Sql-Injection...

En que consiste esta vulnerabilidad? Bueno que puedes ejecutar comandos
Desde el query simplemente con un ` (apostrofe)

Para saber más:
http://www.securiteam.com/securityreviews/5DP0N1P76E.html

Ojo, no se trata de un hackeo, es solo la pésima planeacion de un
Proyecto así... es una VULNERABILIDAD de MS-SQL

Fuente:

Usuario Sql del BBS Iteso
para mas información, su correo:
cristian@redux.com.mx

One Response

Responder a S1C Cancelar respuesta

Comment spam protected by SpamBam