Internet Names Worldwide España S.L. habilitó el dominio inww.es para administrar el registro de los nuevos dominios .biz. En la mañana del sábado, un fallo en su servidor, alojado en Sunnywale (California), permitia a cualquiera que accedise a su site, ver el contenido de todos los ficheros con el código fuente en PHP, encargado de gestionar todo el proceso de registro, desde el lookup hasta el carrito de la compra, revelando el nombre de las variables internas utilizadas, así como el archivo de configuración que contiene los datos para acceder a su base de datos. Para ello, solo era necesario teclear la URL en cualquier navegador. BandaAncha.st ha intentado ponerse en contacto la oficina de la INWW en Madrid, donde solo respondía un contestador que indica que no es horario laboral. La exposición de este código puede revelar posibles agujeros de seguridad que permitan un uso "incorrecto" del servicio. Ya han aparecido mirrors con el código fuente, exceptuando el fichero "definitions", ya que revela datos comprometidos.
- 📰 Artículos
Un fallo permite ver el código fuente de la INWW
💬 Comentarios
BocaDePez
⋮
Creer que se evitan fallos de seguridad al no exponer el código fuente es de ingenuos. La seguridad basada en la oscuridad se ha demostrado un fracaso día tras día. No pretendo, por supuesto, que todo el mundo exponga su código al público, aunque sería deseable; probablemente los que han cometido la torpeza de publicar su código fuente hayan cometido, con esa torpeza, errores mucho más graves en su código, que están por descubrir, y para los que no será imprescindible que el código fuente sea público. Y es que hay mucho administrador que se las da de profesional...