Un error de programación en una de las páginas asp del comercio
electrónico Tower Records dejaba los datos de millones de usuarios
expuestos ante cualquier otro usuario.
Un fallo de programación en la tienda on-line Tower Records
(http://www.towerrecords.com/) permitía de una forma sencilla el acceso
de cualquier usuario a los datos de otros usuarios. Datos como nombre y
apellidos, dirección física y dirección de e-mail, teléfono y los
pedidos realizados quedaban a la vista mediante una simple modificación
de una URL. El problema permitía acceder a más de tres millones de
registros de este tipo.
La robustez de un sitio web no depende en exclusiva de instalar
correctamente el servidor y corregir las continuas vulnerabilidades que
aparecen para su sistema operativo y los servicios instalados. Muchos
ataques e intrusiones a servidores Internet se realizan a través de las
aplicaciones propietarias que soportan las soluciones finales: páginas
web/ASP, scripts, acceso a base de datos, componentes propietarios, etc.
Junto a los administradores, los desarrolladores y webmasters son
responsables directos de la seguridad del sitio web.
Recientemente informamos sobre la publicación de una guía de referencia
para facilitar el desarrollo de aplicaciones web. Una vez más se
evidencia la necesidad de mejorar la calidad en la programación de las
páginas web. El fallo, que se encontraba en la página “orderStatus.asp”,
fue corregido a las pocas horas de tener conocimiento del problema,
según comunicaron los responsables del sitio web.
antonior@hispasec.com
Más información:
Tower Records site exposes data
http://news.com.com/2100-1017-976271.html
una-al-dia (04/12/2002) Guía para el desarrollo de aplicaciones web
seguras
http://www.hispasec.com/unaaldiacom.asp?id=1501
una-al-dia (30/09/2001) Curso de seguridad para desarrolladores y
webmasters
http://www.hispasec.com/unaaldia.asp?id=1071
Deja un comentario