Vulnerabilidade no Site de Carapicuiba

Vejam o e-mail que acabo de receber:

Olá, gostaria de informar que há uma vulnerabilidade no site de carapicuiba expondo todo o banco de dados.

segue o dump bem básico do BD — sim, eu recebi os arquivos que compravam a invasão bem sucedida devido a falha no site/aplicação.
Quero lembrar que NADA foi alterado e nenhuma informação confidencial será divulgada.
Apenas estou mostrando e alertando a falha, ela ocorre no tratamento de caracteres.
segue o link q contem a falha explorada “http://www.carapicuiba.sp.gov.br/servicos.php?id_servico=258
O ataque feito foi SQL Injection, é simples a correção, basta arrumar o tratamento do código.
Desculpe a invasão 😉
O autor da invasão já é velho conhecido deste blog e agiu de forma ética, reportando aos donos do site que ele está com problemas. Agora, se eles já resolveram isso – aí é uma outra história.
P.S.: O pessoal do diáriodeSP ainda não mudou a senha do twitter deles. O troço chato…
Quer aprender mais um pouco sobre ataque e defesa ? Então participe do Cyber War Games. Restam poucos ingressos.
Compartilhar:
Tags: , , , , ,

Este post tem 8 comentários

  1. Giovane 3 jun 2012

    Vale ressaltar que o site de ubatuba também tem falhas de SQLi. Não foi uma descoberta minha, por isso fico receoso de contatar o adm

  2. Kuramo 3 jun 2012

    Ainda não arrumaram..
    E acho que só vão arrumar na hora que o site sofre alguma alteração do tipo ” Carolina Dickman” ou algo semelhante.

  3. sarupk 4 jun 2012

    kkk
    SQL Injection para nossa ALEGRIA!

  4. Presidente Prudente 5 jun 2012

    O site da prefeitura de Presidente Prudente , interior de São Paulo, também, para NOSSSSSSSSSSSSSSA ALEGRIIIIIIIIIIA.

  5. k3rn3lp4n1c 8 jun 2012

    Isso nao è assunto de voces, pede para o Alan Sanchez para de usar ferramentas prontas.

    Ele nunca sera um hacker, e sim um script kid.

    Ele nao tem conhecimento nenhum

  6. Gustavo Lima 8 jun 2012

    Vocês precisam de tratamento, sério… Parem de se atacar, isso é melhor para vida de vocês..

  8. Fudêncio 9 fev 2015

    k3rn3lp4n1c, concordo com vc!

    Utilizar ferramentas prontas para se auto-intitular, é fim de carreira!!!!
    Aprenda como funciona e crie suas próprias!!!
    Alias, use as prontas, mas saiba como tudo funciona em background!!

    Abraços a todos!!

Deixe uma resposta