Share the post "Ministerio de Defensa De Colombia Vulnerable! Full App Disclosure"
Ministerio De Defensa Vulnerable
Saludos Lectores, Hace poco eh visto comprometida la seguridad de muchos sitios del los gobierno, por ejemplo el hackeo a la pagina de ministerio de defensa de argentina por un Injeccion SQLi , el Ataque a secretatia de defensa de Mexico por un exploit de Joomla , y muchos ataques recientes.
Entonces hablando con mi Parcero Morgan Hans, decidimos explorar a ministerio de defensa de nuestro propio país, y vaya sorpresa nos encontramos!
Navegando en la pagina logre encontrar una especie de explorador, la cual nos permitía llegar hasta el documento publico y explorar todo el servidor.
Url de Directorio Tranversal: http://www.mindefensa.gov.co/irj/go/km/navigation/
Con ese directorio transversal descubrí tambien que min defensa trabaja con una plataforma llamada SAP NetWeaver Application Server , y logre encontrar esta información en wikipedia acerca de plataforma que manejan:
http://en.wikipedia.org/wiki/SAP_NetWeaver_Application_Server
Este explorador daba acceso a documento privados y públicos.. no había ninguna restricción de pasar de un sitio a otro. aqui algunas imágenes( una imagen vale mas que mil palabras )
Bueno dije quisiera saber los permisos que maneja cada carpeta en especial la de mindedefensa.
Entonces dije wow! mire todo lo que eh logrado. tan solo con un simple explorador sin restricciones, tenemos aca 3 personas con acceso a todo y permiso ( Administrator, Bohoda rodriguez Janeth,contenido_portal_mdn )
Con estos datos se puede acceder al sitio! un ataque “Cracking” al panel y listo estaria adentro y compometeria la “Seguridad de sitio y del Servidor” Bueno para terminar mi tarea de investigacion acerca de Ministerio de Defensa quize localizar el login y no fue tan dificil:
La verdad me eh quedado impresionado! todo lo que se podia hacer en un par de minutos!.
Vaya imaginasen si exploro la web a un 100% , creo que la seguridad del sitio queda muy mal parada.
Sitios importante como ello, Comprometería a un país completo.! Sii imagínate si un hacker ingresa al sistema y escribe un articulo declarando la guerra a un país. por se la pagina oficial se podría tomar como un declaración oficial y esto comprometería la seguridad de un país.
Ya el problema de seguridad fue reportado. hoy a las 15:12 Esperemos que los webmaster del sitio tomen las medidas de seguridad para evitar futuros problemas
Agradecimiento en especial a: Morgan Hans, Por ayudarme en la exploración del sitio y el reporte.
By Dylan Irzi Para WebSecurityDev
Share the post "Ministerio de Defensa De Colombia Vulnerable! Full App Disclosure"
Acerca de Mi Dylan Irzi
Colombiano, WebMaster, Independent Security Researcher , Apasionado por la Seguridad Informatica, #WhiteHat. Programador. Co-Fundador y Dueño de WebSecurityDev.com
