Otro bug en las paginas de la USAC

El dia de hoy luego de la respectiva tarde de peliculas y la hueva navideña, pues decidi sentarme un rato frente a la PC para arreglar algunos pendientes, y en IRC comentabamos del uso de firebug para errores, los peores errores y agujeros de seguridad que hemos dejado y otras hierbas (entren un dia de estos para entrar en el calor troll), luego de esto comentamos acerca de errores en paginas más formales como el XSS en la pagina de ingenieria en sistemas de la USAC (error eterno por cierto), hasta que alguien salio con un error que yo no conocia.

El error era que puedes ver la foto de cualquier estudiante sin necesidad de saber su clave o siguiera iniciar sesion, pero que no recordaba la URL, no se si era por reto a los demás o porque en verdad no la recordaba asi que decidi investigar eso.

Al inicio, entre al sitio  y pues como era de esperarse la URL esta protegida por javascript.

ingenieria-1

Pero baaahhh eso no es reto, deshabilitamos el javascript de la pagina, ahora ya podemos obtener la url

ingenieria-2

La url en cuestion es

https://www.ingenieria-usac.edu.gt/fotos/

Abierta a cualquiera por cierto, solo preguntenle a sus amiguitos su numero de carnet y podran ver su foto en cualquier momento ya sea para burlarse, adorarlos o cualquier uso que sus mentes retorcidas les puedan dar.

Por ultimo solo queda comprobarlo con el numero de carnet de Pedro el amigo del peladero, foto que pondremos SIN SU AUTORIZACION para comprobar la gravedad, sin su clave y sin nada ya podemos ver su foto (donde se mira un tanto. . . como decirlo . . . dejemolo en controvertido).

uv3

Espero que no me tiren abajo el blog en respuesta, ya que me he preocupado por la seguridad de este blog tanto como me he preocupado para ahorrar y comprarme la licencia de window$ vista ultimate, jajaja.

13 Replies to “Otro bug en las paginas de la USAC”