Adjunto un google hacking interesante, de mi cosecha:
A menudo, los administradores de Ruby on Rails (ror) olvidan ocultar los parámetros de passwords en los ficheros de logs: production.log, development.log o test.log.
No utilizar filter_parameter_logging y publicar cualquier fichero de log en el servidor web puede resultar desastroso.
Google evidencia este problema:
intitle:"index of" +"parent directory" intext:production.log
inurl:production filetype:log intext:password
inurl:production|development|server filetype:log intext:password
Introducciendo estos GH, Google muestra más de 1000 resultados con enlaces a páginas que contienen estos ficheros de logs, que a su vez pueden contener contraseñas en claro.
Basta con abrir uno de ellos, o simplemente observar el texto resumen de cada enlace, para obtener la contraseña de un usuario administrador de una aplicación ror.
Extraído de http://unlugarsinfin.blogspot.es
A menudo, los administradores de Ruby on Rails (ror) olvidan ocultar los parámetros de passwords en los ficheros de logs: production.log, development.log o test.log.
No utilizar filter_parameter_logging y publicar cualquier fichero de log en el servidor web puede resultar desastroso.
Google evidencia este problema:
intitle:"index of" +"parent directory" intext:production.log
inurl:production filetype:log intext:password
inurl:production|development|server filetype:log intext:password
Introducciendo estos GH, Google muestra más de 1000 resultados con enlaces a páginas que contienen estos ficheros de logs, que a su vez pueden contener contraseñas en claro.
Basta con abrir uno de ellos, o simplemente observar el texto resumen de cada enlace, para obtener la contraseña de un usuario administrador de una aplicación ror.
Extraído de http://unlugarsinfin.blogspot.es
Comentarios
Publicar un comentario