De nuevo se descubre un error en la configuración por defecto de un
software de comercio electrónico o de carrito de compra. La sencillez
con que este tipo de programas permiten montar una tienda on-line
suelen provocar problemas que pueden acarrear la obtención de la base
de datos con los pedidos de los clientes, como ocurre en esta ocasión.
Cuando se decide emplear un software comercial para montar un comercio
electrónico, una tienda en Internet, hay que leer muy bien todas las
instrucciones de instalación y proceder a una instalación cuidadosa, y
prestar atención a las partes más importantes del programa. Incluso en
ocasiones hay que llegar más allá de la propia documentación y
comprobar personalmente todos los elementos que conforman el comercio,
como si de una tienda real se tratara y pusiéramos lejos del alcance
de los clientes la caja registradora. La base de datos de productos,
de usuarios y de pedidos son datos fundamentales que deben estar
cuidadosamente protegidos, cosa que no ocurre en la instalación por
defecto de CyberOffice Shopping Cart v2 bajo Microsoft Windows NT 4.
En una instalación por defecto del programa y de acuerdo a las
instrucciones del vendedor es posible conseguir acceso a la base de
datos que mantiene la información de los pedidos de los clientes,
incluida la información de las tarjetas de crédito. Los datos se
mantienen en una base de datos Access sin cifrado no protección de
ningún tipo bajo la ruta:
http://sitio_vulnerable/_private/shopping_cart.mdb
Por defecto el directorio _private tiene lectura para todo el mundo y
es accesible por los usuarios web anónimos. En la documentación el
fabricante indica que el directorio /_private/ debe estar configurado
para que no permita listarse (lo cual no impide que si el nombre del
archivo se conoce este pueda ser sustraido de igual forma).
Para solucionar el problema se recomienda que desde la consola de
administración de Internet Infromation Server se configuren los
permisos en el directorio /_private/ como sólo de escritura y no de
lectura. Esto permitirá realizar las actualizaciones de la base de
datos tal y como requiere la aplicación, pero impedirá su recepción.
antonior@hispasec.com
Más información:
Deja una respuesta