Con todo lo que ha ocurrido hoy con P.C. Green, no he podido evitar el echarle un vistazo a su web.

He quedado francamente sorprendido. Hacía mucho que no veía un sitio potencialmente vulnerable a todos los ataques de intrusión.

Así que he decidido hacer un artículo comentando las malas prácticas que se utilizan en esa web, para que sepamos aquello que es potencialmente inseguro, y por tanto deberemos evitar.

Por ética, he decidido avisar a P.C. Green antes de publicar el artículo, de esta forma disponen de un margen de tiempo para corregir los problemas, antes de que queden expuestos al público. La norma no escrita, dicta un período de 48 horas, así que tendréis que manteneros a la espera.

Perfectamente podría no haberles avisado, o darles un período de tiempo menor, pero creo que se trata de que todos aprendamos con su análisis lo que no debemos hacer, por tanto, sin este aviso previo, no estaría predicando con el ejemplo.

Para abrir boca, aquí va el email que les he enviado:

From: Javier Gutiérrez Chamorro
To: P.C. Green
Date: Mon, 31 Jan 2005 20:59:28 +0100
Subject: Riesgos de seguridad

Estimados señores de P.C. Green,

Soy Javier Gutiérrez, y escribo en mi bitácora
(http://www.javiergutierrezchamorro.com), fundamentalmente sobre tecnología y programación.

Por motivos varios he conocido vuestro sitio web, y he tenido la oportunidad de echarle un vistazo superficial.

Sinceramente, hacía mucho tiempo que no veía algo tan mal desarrollado.

No entraré en las deficiencias del contenido, ni del diseño, ya que no son mi especialidad, pero si que me gustaría advertirles de graves riesgos de seguridad en la implementación que sufren actualmente:

– Vulnerabilidad a ataques con inyección SQL en multitud de puntos.
– Revelación de detalles técnicos de implementación a través de las notificaciones de errores del servidor.
– Posibilidad de ser utilizado como plataforma para el envío de emails a terceros.
– Riesgo de inserción de código HTML arbitrario dentro de la zona principal de contenidos.
– Debilidad respecto a ataques de denegación de servicio.

En pocas palabras, su sitio es vulnerable a virtualmente cualquier ataque.

Estoy convencido de que se hacen un poco a la idea de la gravedad del asunto, por lo que me veo en el deber moral de comunicárselo previamente a la publicación de mi análisis detallado, para en el caso de tener cualquier inconveniente me lo hagan saber.

Cordialmente.