Vulnerabilidade no Site de Carapicuiba

Tags: , , , , ,

Vejam o e-mail que acabo de receber:

Olá, gostaria de informar que há uma vulnerabilidade no site de carapicuiba expondo todo o banco de dados.

segue o dump bem básico do BD — sim, eu recebi os arquivos que compravam a invasão bem sucedida devido a falha no site/aplicação.
Quero lembrar que NADA foi alterado e nenhuma informação confidencial será divulgada.
Apenas estou mostrando e alertando a falha, ela ocorre no tratamento de caracteres.
segue o link q contem a falha explorada “http://www.carapicuiba.sp.gov.br/servicos.php?id_servico=258
O ataque feito foi SQL Injection, é simples a correção, basta arrumar o tratamento do código.
Desculpe a invasão 😉
O autor da invasão já é velho conhecido deste blog e agiu de forma ética, reportando aos donos do site que ele está com problemas. Agora, se eles já resolveram isso – aí é uma outra história.
P.S.: O pessoal do diáriodeSP ainda não mudou a senha do twitter deles. O troço chato…
Quer aprender mais um pouco sobre ataque e defesa ? Então participe do Cyber War Games. Restam poucos ingressos.

VEJA TAMBÉM

Primeira edição do HackingDay – alguns problemas, mas a galera se divertiu pacas Eu ainda estou me recuperando da farra que foi a primeira edição do HackingDay. Fiquei mais de 48 horas acordado ajudando na montagem da infra - obrigado mais uma vez à Utah Networxs por ter patrocina...
Web Seminário Gratuito sobre Hacktivismo (Anonymous) Gostaríamos de anunciar o primeiro Web Seminário Gratuito sobre Hacktivismo (Anonymous). Ele será realizado no dia 11/05 (sábado), tendo previsão de início das 19:00 e término às 20:00 Os segui...
Imagem de um HTTP Server Seguro Facilitar a vida de quem traba;ha administrando servidores WEB é uma das coisas mais louváveis do mundo. Digo isso porque a centenas de ferramentas, plugins e configurações que precisam ser ajustados ...
COMPARTILHE ESTE ARTIGO

COMENTÁRIOS

8 comentários em “Vulnerabilidade no Site de Carapicuiba

  1. Giovane

    Vale ressaltar que o site de ubatuba também tem falhas de SQLi. Não foi uma descoberta minha, por isso fico receoso de contatar o adm

  2. Kuramo

    Ainda não arrumaram..
    E acho que só vão arrumar na hora que o site sofre alguma alteração do tipo ” Carolina Dickman” ou algo semelhante.

  3. k3rn3lp4n1c

    Isso nao è assunto de voces, pede para o Alan Sanchez para de usar ferramentas prontas.

    Ele nunca sera um hacker, e sim um script kid.

    Ele nao tem conhecimento nenhum

  4. Fudêncio

    k3rn3lp4n1c, concordo com vc!

    Utilizar ferramentas prontas para se auto-intitular, é fim de carreira!!!!
    Aprenda como funciona e crie suas próprias!!!
    Alias, use as prontas, mas saiba como tudo funciona em background!!

    Abraços a todos!!

DEIXAR UM COMENTÁRIO

MENU