La información de los estudiantes no importa

in #hacking7 years ago

logo-cft.jpg

La Intranet de CFT UTA (Centro de formación técnica de la universidad de tarapacá de chile) es Vulnerable, esto lo descubrí en diciembre del 2016 lo ignore pensando que era un sistema antiguo que ya no se utiliza, después de algún tiempo veo que los alumnos de la institución usan este sistema, simplemente me sorprende! Avise el 12 de junio del 2017 sobre el error dando los detalles y demostrando la gravedad que este tenía. Hasta el momento 29 de diciembre del 2017 no han arreglado nada :).

El error es una vulnerabilidad SQL injection el cual me permite ver todos los datos que maneja la intranet de CFT UTA.

cft-db.png

Tambien tenia privilegios de administrador, un simple script puede borrar toda la información del sistema, actualizar las notas, asistencia o cualquier cosa para la que se use tal sistema.

Privilegios en la base de datos

privileges-cft.png

Aparte del error grave de lado del servidor, también tienen una Vulnerabilidad XSS la cual se puede utilizar para propagar ataques, bueno depende de la imaginación del atacante!

Vulnerabilidad XSS
xss.png

xss-js.png

Sort:  
Loading...

Coin Marketplace

STEEM 0.19
TRX 0.17
JST 0.030
BTC 79435.01
ETH 3189.92
USDT 1.00
SBD 2.70