Existe un proyecto llamado collabtive que nos permite gestionar proyectos, el soft es bonito y tiene algunas features interesantes. Como lo estoy usando y segun la politica interna (mia) #456 que dice: "Debes auditar todo el código de los proyectos que uses ...", decidí darle un chequeo a la aplicación en el sistema de validación y encontre que todo estaba bien!, deprimido por no haber encontrado nada, decidí comerme un manimoto® y abrir un enlace al archivo API y bueno, ya conocen el resto ...
El bug fué informado, sin embargo puede que los desarrolladores no consideren importante que se puedan ver los usuarios y hashes MD5 de la BD que usa el soft.
En fin, la moraleja es que los archivos que no estan ligados directamente a la autenticación o el manejo de sesiones, deben estar igual de protegidos contra posibles entradas inesperadas.
Queda como tarea de johana explicar el error en la llamada de la API.
Saludos.
pd: AHH!, quieren ver la salida?: click here.
pd2: Por favor no usen ESTE sitio para romper el MD5, no les va a funcionar.
pd3: En guindows no funciona el bug de la misma forma, pero es posible explotarlo, porque?, porque?
El bug fué informado, sin embargo puede que los desarrolladores no consideren importante que se puedan ver los usuarios y hashes MD5 de la BD que usa el soft.
En fin, la moraleja es que los archivos que no estan ligados directamente a la autenticación o el manejo de sesiones, deben estar igual de protegidos contra posibles entradas inesperadas.
Queda como tarea de johana explicar el error en la llamada de la API.
Saludos.
pd: AHH!, quieren ver la salida?: click here.
pd2: Por favor no usen ESTE sitio para romper el MD5, no les va a funcionar.
pd3: En guindows no funciona el bug de la misma forma, pero es posible explotarlo, porque?, porque?
1 comentario:
Genial que el demo del bug este en el demo del sitio oficial :)
Publicar un comentario