A lo largo de mi "carrera", que no es larga precisamente he tenido la oportunidad de comprobar la verdad absoluta de un administrador web, "si te duermes te joden".
Cuando un admin dice "no tengo ganas de actualizar el soft", "una contraseña robusta es dificil de recordar" y todas esas frases que a los amantes de la seguridad nos da pánico escuchar es cuando se producen los mayores errores en la securisación del servidor.
Hoy vamos a hablar de un caso en especial, resulta que anoche estaba aburrido y me dirijí a la comunidad DragonJAR donde leí un paper de Shell Root sobre controlar un servidor via XAMPP, entusiasmado con la idea y con ganas de probar lo aprendido ideé una dork en google que, impresionantemente, el tercer resultado de esta tenia los valores por defecto de XAMPP es decir:
user: root
no password
Cuando lo vi me dió verguenza ajena....
Lo mas "divertido" de la página es lo que reza en su index:
Y bien... para finalizar dejo un par de capturas del desastre
Se aprecia claramente que el usuario es root
Y el desastre de desastres... una shell subida...
Espero que a partir de ahora configuren con un mínimo de seguridad sus servidores!!
Cuando un admin dice "no tengo ganas de actualizar el soft", "una contraseña robusta es dificil de recordar" y todas esas frases que a los amantes de la seguridad nos da pánico escuchar es cuando se producen los mayores errores en la securisación del servidor.
Hoy vamos a hablar de un caso en especial, resulta que anoche estaba aburrido y me dirijí a la comunidad DragonJAR donde leí un paper de Shell Root sobre controlar un servidor via XAMPP, entusiasmado con la idea y con ganas de probar lo aprendido ideé una dork en google que, impresionantemente, el tercer resultado de esta tenia los valores por defecto de XAMPP es decir:
user: root
no password
Cuando lo vi me dió verguenza ajena....
Lo mas "divertido" de la página es lo que reza en su index:
The main objective of the MOMENT project is to design and implement a mediator architecture to offer a unified interface to all data bases and measurement facilities for IP traffic monitoring and service supervision. Thus its users will be able to submit advanced queries based on semantic access, with possible combinations of different data sources, with privacy protection mechanisms.
Y bien... para finalizar dejo un par de capturas del desastre
Se aprecia claramente que el usuario es root
Y el desastre de desastres... una shell subida...
Espero que a partir de ahora configuren con un mínimo de seguridad sus servidores!!
No sera un servidor importante no ? XD
Y el msj en el recuadro amarillo que dice su login es root sin clave.. es una VULNERABILIDAD...........
No se como un admin pueda hacer eso... no sería una web de pruebas .. o mucho menos que eso.. o entraste recien instalada jeje
Ubuntero.......
Otra cosa pasate a wordpress, esta ventanita de los comentarios me esta matando [CC]
no entendí muy bien a que se dedicaba la página .. y no era muy improtante, creo, xD
pero me pareció horrible... y pues ahí está XD
jaja que verguenza de administradores...
hay de todo en la red...
PD: la proxima tapa los marcadores, es todo spam XDDD
SAludos
ninfas
publicidad gratis.. no creo que se quejen XD
pd. ahora mi navegador se ve mas bonito con el firefox 3.6 ... vaya diferencia con "personas" xD