Servidores del gobierno bolivariano exponen sus listados de archivos al internet.

Esto nos lo enviaron esta mañana para que lo publicáramos:

Sigue las instrucciones y ayuda a Sam el tucán.

Por uno de esos azares de la vida, haciendo una búsqueda sobre patrullaje inteligente para ver qué carajo era, caí en un sitio web que mostraba un PDF en un link tipo raro que indicaba que era una subcarpeta del servidor. El hecho de haber entrado directo al PDF indicaba que Google había indexado el documento directamente y no el enlace que lleva al documento, esto es en general índice de que el subdirectorio esta indexado y que se puede navegar su contenido.

Por curiosidad quite el nombre del archivo de la barra de dirección y le di “enter”… Mis sospechas se confirmaron… Se puede pasear por la arborescencia de directorio abrir los documentos, leerlos, bajarlos…

Esto me pico aun más la curiosidad pues estaba en un sitio que lleva la extensión de dominio gob.ve y me pregunte cuantos otros presentaban esta vulnerabilidad (típica de un servidor mal administrado)

Una rápida búsqueda en Google me enseño como lanzar una búsqueda orientada a dicha vulnerabilidad.

exponen 300x254 Servidores del gobierno bolivariano exponen sus listados de archivos al internet.El resultado fue impresionante… 9960 resultados incluyendo: Ministerio del petróleo, Ipostel, Corpocentro, Bolipuerto, Conatel…

Tal vez no se tenga acceso a información confidencial o crítica o de seguridad o insider que permita ganar dinero… (¿O sí?)

 

Lo extenso de la información encontrada hace difícil apreciar si hay algo sensible… pero definitivamente es un fallo enorme de seguridad…
policia marxista 300x207 Servidores del gobierno bolivariano exponen sus listados de archivos al internet.

Imagínense que en el servidor de la del CONSEJO GENERAL DE POLICÍA tienen un bojote de libros sobre marxismo / comunismo. http://www.consejopolicia.gob.ve/documents/




En ningún lugar encontré como reportar esta vulnerabilidad, así que decidí hacerla pública con la esperanza de que los interesados tomen las medidas necesarias para resolverlo.
Mi intención al publicar esto es alertar a las personas responsables de esos servidores para que corrijan este fallo. (Que es una simple manipulación en apache).

unodemochos 300x221 Servidores del gobierno bolivariano exponen sus listados de archivos al internet.

Si no me cree, ponga esto en su barra de búsqueda de Google:

site:gob.ve -inurl(html|htm|php) intitle:”index of” +”last modified” +”parent directory”

O haga click en este enlace:
https://www.google.fr/search?biw=1280&bih=652&q=site%3Agob.ve+-inurl%28html%7Chtm%7Cphp%29+intitle%3A%E2%80%9Dindex+of%E2%80%9D+%2B%E2%80%9Dlast+modified%E2%80%9D+%2B%E2%80%9Dparent+directory%E2%80%9D&oq=site%3Agob.ve+-inurl%28html%7Chtm%7Cphp%29+intitle%3A%E2%80%9Dindex+of%E2%80%9D+%2B%E2%80%9Dlast+modified%E2%80%9D+%2B%E2%80%9Dparent+directory%E2%80%9D&gs_l=serp.3…4270.4270.0.4609.1.1.0.0.0.0.83.83.1.1.0….0…1c.1.26.serp..1.0.0.8jRjyEAjQCE

Allí obtendrá todos los directorios expuestos, podrá navegarlos y leer la información en ellos. También vera que muchos de los sitios del gobierno utilizan Debian y apache otros Windows etc.

Sigue las instrucciones y, en los comentarios, cuéntanos qué consigues.

Si tienes linux o mac, bájate la carpeta con: wget -r -np -nH –cut-dirs=3 -R index.html http://nombredelsitio.gob.ve/nombredelacarpetanavegable/

 

GD Star Rating
loading...
Servidores del gobierno bolivariano exponen sus listados de archivos al internet., 5.0 out of 5 based on 22 ratings
 Servidores del gobierno bolivariano exponen sus listados de archivos al internet.

panfletonegro

Webzine dedicado a la divulgación de literatura, fotografía y crítica latinoamericana. En línea desde 1999.

Más posts - Website


twitter Servidores del gobierno bolivariano exponen sus listados de archivos al internet.facebook Servidores del gobierno bolivariano exponen sus listados de archivos al internet.

¿Quieres publicar en panfletonegro? Este es un sitio participativo. Para escribir aquí sólo tienes que registrarte.
Cambiar fondo

7 Comentarios

  1. marlonoso dijo:

    “En ningún lugar encontré como reportar esta vulnerabilidad, así que decidí hacerla pública con la esperanza de que los interesados tomen las medidas necesarias para resolverlo.Mi intención al publicar esto es alertar a las personas responsables de esos servidores para que corrijan este fallo. (Que es una simple manipulación en apache).”

    La jalada del año

    ResponderResponder

    ¿Relevante para esta discusión?: Thumb up 4 Thumb down 3

  2. Gerswin dijo:

    Menos mal el server de panfleto esta correctamente configurado y sólo de 20 veces al día y tiene 20k fallos de seguridad

    ResponderResponder

    Buen comentario. ¿Qué piensas? Thumb up 22 Thumb down 3

  3. Pepe dijo:

    Me pregunto si se podrá conseguir información sensible (o no) que nos de señales de los que pasa en las intituciones públicas, de lo que pasó en Amuay y el Gurí, etc. Sería interesante.

    ResponderResponder

    ¿Relevante para esta discusión?: Thumb up 1 Thumb down 0

  4. Dago dijo:

    Definitivamente hay cosas sensibles.

    Para empezar, sólo navegué superficialmente por el sitio web del Consejo Nacional de Policía y pude ver los datos de los policías jubilados: Nombre y apellidos, C.I., fecha de nacimiento, nivel educativo, etc.

    ResponderResponder

    ¿Relevante para esta discusión?: Thumb up 1 Thumb down 0

  5. pololo dijo:

    Voy a darle un vistazo a eso “encebollado” ;D

    ResponderResponder

    ¿Relevante para esta discusión?: Thumb up 0 Thumb down 0

  6. Jose dijo:

    La solucion es…..: LEER

    ResponderResponder

    ¿Relevante para esta discusión?: Thumb up 1 Thumb down 0

Sugerencias:
  • Trata de ser civilizado. No digas cosas que no dirías cara a cara.
  • Cuando estés en desacuerdo, trata de argumentar en lugar de atacar. Por ejemplo, "No seas imbécil, 1+1 es 2, no 3", puede ser acortado a "1+1 es 2, no 3".
  • Trata de usar *, en lugar de MAYUSCULAS, si quieres **enfatizar** tus palabras
  • Trata de no quejarte si eres votado como irrelevante. No tiene sentido.
  • Trata de respetar el derecho que tiene cada quien de revelar -o no- su identidad.
  • Trata de ceñirte al tema. Si se habla de gimnasia y quieres hablar de magnesia, ¡publica tu artículo!
  • Si tienes un argumento muy largo, ¡regístrate y publica tu propio artículo!

*

Para insertar una imagen, escribe
<img src="http://direccionAtuImagen.jpg"/>

Para insertar un video de YouTube, coloca el link al video directamente

Top