IncreInfo

martes, 20 de agosto de 2013

Hackean 132 Paginas Gubernamentales del Ecuador

La noche del martes 20 de agosto la cuenta de Twitter @synchr0n1ze en unas de sus publicaciones anuncia el hackeo de 132 paginas gubernamentales del Ecuador por parte del Grupo Hightech Brazil HackTeam 


Hasta el momento aun mantienen los defacement



Las paginas que se mantienen hackeadas son las siguientes: http://pastebin.com/dcwApqBq

epapap.gob.ec
epemasapm.gob.ec
gadpalanda.gob.ec
gobiernodechambo.gob.ec
gobiernodechilla.gob.ec
gobiernodezapotillo.gob.ec
gobiernomontufar.gob.ec
gobiernomunicipaldecolimes.gob.ec
gonzalopizarro.gob.ec
gonzanama.gob.ec
huaca.gob.ec
latacunga.gob.ec
loreto.gob.ec
manta.gob.ec
mera.gob.ec
municipioarosemenatola.gob.ec
municipioatahualpa.gob.ec
municipiobanos.gob.ec
municipiocuyabeno.gob.ec
municipiodejunin.gob.ec
municipioelpan.gob.ec
municipiojipijapa.gob.ec
municipionaranjito.gob.ec
municipiourcuqui.gob.ec
munjoyasachas.gob.ec
olmedo.gob.ec
ona.gob.ec
pablosexto.gob.ec
pajan.gob.ec
pangua.gob.ec
pedernales.gob.ec
penipe.gob.ec
pimampiro.gob.ec
quero.gob.ec
quininde.gob.ec
santaana.gob.ec
santaclara.gob.ec
sanvicente.gob.ec
valencia.gob.ec
arajuno.gob.ec
elchaco.gob.ec
municipiosanmiguel.gob.ec
santaclara.gob.ec
sanvicente.gob.ec
valencia.gob.ec
arajuno.gob.ec
elchaco.gob.ec
municipiosanmiguel.gob.ec
gonzalopizarro.gob.ec
limonindanza.gob.ec
municipiocuyabeno.gob.ec
municipiodesuscal.gob.ec
pimampiro.gob.ec
sanfernando.gob.ec
valencia.gob.ec
www.abmjujan.gob.ec
www.arajuno.gob.ec
www.archidona.gob.ec
www.biblian.gob.ec
www.cantonjama.gob.ec
www.cascales.gob.ec
www.chillanes.gob.ec
www.elcarmen.gob.ec
www.elchaco.gob.ec
www.eloyalfaro.gob.ec
www.flavioalfaro.gob.ec
www.gobiernodechambo.gob.ec
www.gobiernodezapotillo.gob.ec
www.gobiernomontufar.gob.ec
www.gobiernomunicipaldecolimes.gob.ec
www.gonzalopizarro.gob.ec
www.gonzanama.gob.ec
www.gualaquiza.gob.ec
www.huaca.gob.ec
www.latacunga.gob.ec
www.loreto.gob.ec
www.manta.gob.ec
www.marcabeli.gob.ec
www.mera.gob.ec
www.mocache.gob.ec
www.abmjujan.gob.ec
www.municipioarosemenatola.gob.ec
www.municipioatahualpa.gob.ec
www.municipiobanos.gob.ec
www.municipiodecolta.gob.ec
www.municipiodejunin.gob.ec
www.municipiodepaute.gob.ec
www.municipioelpan.gob.ec
www.municipioelpangui.gob.ec
www.municipiojipijapa.gob.ec
www.municipiomacara.gob.ec
www.municipiomocha.gob.ec
www.municipiopucara.gob.ec
www.municipiopujili.gob.ec
www.municipiosanmiguel.gob.ec
www.ona.gob.ec
www.pajan.gob.ec
www.penipe.gob.ec
www.pimampiro.gob.ec
www.quero.gob.ec
www.rocafuerte.gob.ec
www.sanfernando.gob.ec
www.santaana.gob.ec
www.santaclara.gob.ec
www.sanvicente.gob.ec
www.saquisili.gob.ec
www.tisaleo.gob.ec
www.ventanas.gob.ec
www.yantzaza.gob.ec
abmjujan.gob.ec
aguarico.gob.ec
archidona.gob.ec
biblian.gob.ec
canar.gob.ec
cantonjama.gob.ec
chillanes.gob.ec
emapasanmiguelbolivar.gob.ec
eloyalfaro.gob.ec
cantonbolivar.gob.ec
cascales.gob.ec
jaramijo.gob.ec
municipiodepalenque.gob.ec
municipiodepaute.gob.ec
municipalidadvinces.gob.ec
flavioalfaro.gob.ec
municipioelpangui.gob.ec
limonindanza.gob.ec
marcabeli.gob.ec
balsas.gob.ec
balzar.gob.ec
camiloponce.gob.ec
pelileo.gob.ec
sancristobalgalapagos.gob.ec
saquisili.gob.ec
gadimetambo.gob.ec
epagal.gob.ec
isidroayora.gob.ec
tosaguatest.gob.ec
buenafe.gob.ec
municipiocayambe.gob.ec
gobiernolocalecheandia.gob.ec
backup.gob.ec
pindal.gob.ec
municipiotaisha.gob.ec
caluma.gob.ec
expociudad.ame.gob.ec
visit-cayambe.gob.ec
municipiodelasnaves.gob.ec
pdotca-cascales.gob.ec
gobiernomunicipaldeisabela.gob.ec
municipiomocha.gob.ec
municipiodesuscal.gob.ec
tisaleo.gob.ec
ventanas.gob.ec
gualaquiza.gob.ec
municipiocelica.gob.ec
municipiodecolta.gob.ec
rocafuerte.gob.ec
epmapa-palora.gob.ec
gadmontecristi.gob.ec
24demayo.gob.ec
bomberospenipe.gob.ec
yacuambi.gob.ec
tosagua.gob.ec
quilanga.gob.ec
municipiologronio.gob.ec
empudepro.gob.ec
empudepro.gob.ec
yantzaza.gob.ec
elcarmen.gob.ec
municipiomacara.gob.ec
municipiomacara.gob.ec
municipiodecatamayo.gob.ec

lunes, 5 de agosto de 2013

Arbitrary File Download Vulnerability

Qué is Arbitrary File Download?

Quizá para muchos esto es un tema nuevo, para otros no. En español, Descarga Arbitraria de Archivos.

Como su nombre indica, si la aplicación web no comprueba el nombre del archivo requerido por el usuario, cualquier usuario malintencionado puede aprovechar esta vulnerabilidad para descargar los archivos confidenciales desde el servidor (Ejemplo: Archivos de conexión a la base de datos).

Muchas aplicaciones web tienen secciones de descarga de archivos donde el usuario puede descargar uno o varios archivos de su elección. Si la entrada no es verificada apropiadamente antes de utilizarse para recuperar archivos del archivador o recuperar los archivos adjuntos de un mensaje o una nota recibida, puede ser explotado para descargar archivos arbitrarios en el sistema a través de ataques transversales de directorio.
Muchas veces puede ser confundido con LFI/RFI ya que ambos son de naturaleza similar salvo al momento de explotar. Ambos toman ventaja de los parámetros del archivo de entrada sin filtrar utilizados por las aplicaciones web, principalmente en PHP. RFI, por el contrario incluye cualquier archivo malicioso alojado remotamente mediante direcciones URL.

En el siguiente Video les dejo una explicación acerca de la Arbitrary File Download