De hackers malvados, comillas, y hosting gratis

Esta mañana he encontrado una noticia de cierta web de partido político hackeada. Le habían inyectado noticias, bastante graciosas, todo hay que admitirlo ;D

Fijándome en la url me dí cuenta de algo interesante:

…/index.php?idNoticia=993`

No es la misma, pero solamente es para hacerse a la idea, de que el campo idNoticia tiene toda la pinta de estar hecho ad-hoc. Es decir, que no es un CMS popular y curtido en arreglar vulnerabilidades. Entonces le pregunté a “mi amigo” (yo no eh? ;D) que desgraciadamente sufre del síndrome de la comilla a que le haga un, como él dice, nanopentest.

El caso es que como era de esperar, esta web era vulnerable a SQL inyection. No hace falta realizar ninguna auditoría costosa para darse cuenta por donde le han crujido la web. De hecho, no hacía falta tampoco ninguna auditoría costosa para darse cuenta de que esa web era vulnerable antes de haberla publicado.

Picado por la curiosidad, mi colega se puso a confeccionar un pequeño estudio estadístico. Buscó en google:

inurl:index.php?idNoticia=

y comenzó a hacerle nanopentest a las webs de los resultados mostrados. Cuando se aburrió, después de 17 sites, hizo cuentas: 8 de 17 webs con resultados positivos, es decir, casi la mitad de webs encontradas son vulnerables. Y no estamos hablando de un XSS, mejor no entrar ahí… hablamos de que la web puede ser completamente comprometida.

A mí estos datos me asustan. Poniéndonos amarillistas, la mitad de internet podría estar hecha unos zorros y no lo está porque no quieren, y me dá que pensar que cuando algo gordo ocurre es porque alguien ha tenido un mal día de trabajo y llega a casa con ganas de romper algo, que eso de ciberterrorismo, APTs, y demás son palabras que se las inventaría algún consultor xD

En fin, me ha quedado el post muy tremendista y “telecinquero”. Lo que quería transmitir es que en todo programa de formación en desarrollo de aplicaciones en general, debería incluirse contenido en cuanto a seguridad, y concienciar al desarrollador los riesgos que existen y las técnicas que hay para mitigarlas.

Saludos! o/

social