Ayer un amigo me mandaba un link de una web nacional que había sido defaced, a simple vista se miraba que era una sql injection. Después de las primeras pruebas rápidas pude encontrar varias partes vulnerables, hoy por la mañana di por completo con la forma en que el atacante había ingresado o por lo menos... una forma en la que pude ingresar al modulo de administración, asi que, claro, después de las pruebas respectivas, screenshots y documentación, procedí a informar del fallo.
No encontré ningún correo del webmaster/administrador en la página, pero encontré el correo de alguien en el modulo de administración, asi que mande un mensaje por el formulario de "Contactenos" y un correo al correo que encontré en el modulo de admin.
La respuesta fue buena, me dijo que no era el administrador pero que ya pasaba la información, al rato me cayó un correo de parte del administrador informándome que venían trabajando en esto la última semana y agradeciendo el aviso, le comenté que si estaba interesado le podía enviar las pruebas que había hecho a lo que al momento me respondió que se las enviara.
Al momento los mensajes de defacing ya no estaban, lo que me hizo pensar que definitivamente no se habían dado cuenta del problema sino hasta hoy... (pueda que me equivoque), pero el punto es:
Cuantos administradores realmente aceptan este tipo de avisos de una buena forma?
Hasta el momento yo no he tenido la experiencia de toparme con alguno que se moleste, sin embargo, he escuchado varios comentarios de administradores que no aceptan y que incluso insultan a la persona que reporta el problema.
Algunos lo aceptan, otros se enojan, otros ignoran el aviso... bueno, hayá cada administrador que hace con el aviso que se da, ese en otras palabras, ya no es nuestro problema... claro, cuando la gente sale tranquila hasta da gusto ayudarles en lo poco que sabemos, es mejor hacer amigos de esta forma.
Saludos!
No hay comentarios:
Publicar un comentario