La web del senado ya está online y con errores

Hace horas que la polémica web del senado está online y por lo que se puede observar las prisas no son buenas. En las primeras horas de vida la página era víctima de un DDoS debido a la afluencia de gente que esperaba ansiosa conocer en que se habían desperdiciado 500.000€. Poco después en Twitter aparecían multitud de defaces - client-side - de la web debido a un incorrecto filtrado de inputs de los usuarios.

senado hacked
Defaces client-side en senado.es
Poco tardaron en corregir este error, pero siguen existiendo a lo largo de toda la web y con una simple búsqueda podemos encontrarnos con multitud de errores de filtrado y la simple inexistencia de estos.

<input type="text" id="query" name="query" size="40" value=" NOMBRE:&quot;"><h1 style=font-size:50px;>ShellShockLabs</h1><a&quot;" />

Esto no queda aquí solamente, si echamos un ojo al robots.txt, vemos unas cuantas rutas de acceso a ficheros:

User-agent: *
Disallow: /
Disallow: /legis9/publicaciones/html/textos/CG_B015.html
Disallow: /legis9/publicaciones/pdf/cortes/bocg/CG_B015.PDF
Disallow: /legis9/publicaciones/html/textos/CG_B100.html
Disallow: /legis9/publicaciones/pdf/cortes/bocg/CG_B100.PDF

Donde una de estas rutas nos lleva a un documento con cientos de NIFs de personas que se presentaron a oposiciones. Contradiciendo lo escrito en sus políticas:

Asimismo, el Senado garantiza que ha adoptado las medidas de carácter técnico y organizativo de seguridad en sus instalaciones, sistemas y ficheros.

Vistos algunos errores  - de los muchos - queda claro que la web no ha tenido el trabajo que se espera de una entidad pública y surge la pregunta ¿A donde ha ido medio millón de euros en desarrollo?

0 comentarios:

Publicar un comentario en la entrada

ShellShock Labs es un blog dedicado a seguridad y hacking en general, un lugar donde buscamos que la gente participe con sus opiniones.

Síguenos




Posts Populares