domingo, 10 de abril de 2016

¿Eficacia en los servicios públicos? Cuéntame más...

Hace unos días encontré una vulnerabilidad XSS en esta página web y aunque era una web sin ningún excesivo interés ni mucha información confidencial me decidí a reportarlo.

Tardó en contestarme diciendo que lo había arreglado 11 minutos. Aquí es cuando te preguntas: ¿Y a mi qué me importa todo esto? Y tienes toda la razón, no me importa ni a mí :D

La cuestión es que echándole un vistazo a la página web de la universidad de Granada encontré en relativamente poco tiempo 3 vulnerabilidades diferentes, entre las que había 2 XSS y un upload.php bypasseable. Hasta aquí todo bien (relativamente), el problema llega cuando envías un correo a la universidad y nunca (hasta el momento) se te responde.

Al tiempo entrando otra vez en la web de la universidad, encuentro de casualidad otra XSS, y ya que no se me había contestado al correo decidí poner este tweet.

En esta ocasión si me respondieron al instante por MP y la conversación fue tal que así.



Aquí dejé la cosa y no volví a prestarle atención a este tema hasta hoy cuando he visto esto.

No han arreglado después de casi un mes ninguna de las vulnerabilidades que reporté, ¿Por qué en una web sin mucha importancia tardan en arreglar un fallo 11 minutos y en otra web con mucha información confidencial e importante directamente no lo arreglan? Yo creo que la respuesta es obvia, la gente se toma a broma la seguridad y así, la gente mala como yo os vamos a hackear a todos ¡A TODOOOOOOOS!

Saluti.

Este no tiene grasia, pero eh que no veah la mala leche que me ha entrao por tol cuerpo.