NOTA: Esta vulnerabilidad ya ha sido informada y corregida en una actualización a este sistema
Existe un programa desarrollado por el servicio de impuestos internos de mi país (Bolivia), el cual es distribuido gratuitamente por la web, ocurre que hoy tratando de ingresar a su interfaz pues no sabía que usuario ingresar, supongo que es la falta de interés por leer los manuales y explicaciones del mismo sitio,
o.0, jeje en fin, como no sabia como entrar pues intenté ingresar "por la fuerza", haciendo un poquito de SQL Injection en el nombre de usuario y password con el siguiente texto:
' or 1=1 --
(este es la clásica sentencia de entrada para hacer una inyección)
pero solo me salía este curioso mensaje: TYPE MISMATCH IN EXPRESSION '(- ' AND PASSWORD = ' OR 1=1--')'. , mmmmm curioso no?
¿por que no intentar con algo mas interesante?
yyyy pues bien a darle con : 'or''=' y listo!
pues ahora el usuario 'or''=' entra tranquilamente al programa.
Pues tampoco pude hacer gran cosa ahi, pero si una recomendación al equipo de programación del DaVinci, que por cierto está bastante bueno.
No comments:
Post a Comment