Los ciberataques han estado presentes desde los inicios de la informática y la tecnología. A medida que estas se han desarrollado y aumentado su uso, también lo han hecho los ciberataques de forma cada vez más sofisticada y con un impacto cada vez mayor en la seguridad de la información.
LimeSurvey es una aplicación de código abierto escrita en PHP, creada específicamente para realizar encuestas online. Es realmente útil para aquellos usuarios que carecen de conocimientos de programación, ayudándoles a generar un entorno para la recogida de respuestas sobre sus encuestas.
Hace un tiempo atrás, encontramos y reportamos una vulnerabilidad de descarga arbitraria de archivos en Limesurvey, la cual está registrada comoCVE-2019-9960. Esta vulnerabilidad permite a un Administrador descargar archivos internos del servidor, a través de un Directory Traversal. La vulnerabilidad afecta a las versiones <= 3.15.9+190214.
Hasta la fecha, LimeSurvey cuenta con un total de 2.192 estrellas en GitHub.
Encontrando los bugs
Cuando un usuario exporta la estructura de una encuesta al formato *.lss, se genera un modal con el botón “Descargar archivo”.
El mismo, al ser ejecutado, genera una petición GET a la siguiente URL:
LimeSurvey utiliza el formato Pretty URL, mediante el cual se realizan llamadas a diferentes acciones en los distintos controladores que componen la aplicación. La URL anterior se estructura de la siguiente manera.
Por un lado, admin/export hace referencia al controlador:
Si eres principiante, este artículo te ayudará a conocer qué es una Prueba de Penetración, también conocida con otros nombres como Prueba de Intrusión o Pentest. Esta sirve para evaluar la seguridad de una red. Se trata de un análisis exhaustivo de la infraestructura de la red para detectar puntos débiles en los que los atacantes externos podrían aprovecharse para obtener acceso no autorizado a la información almacenada. Estas pruebas no se limitan a la seguridad de la red, sino que también se pueden aplicar a aplicaciones, sistemas operativos, teléfonos inteligentes y otros dispositivos.
En la actualidad, la ciberseguridad se ha convertido en uno de los temas más importantes para empresas y organizaciones de todo el mundo. Esto se debe en parte a la creciente amenaza de los ciberataques, que pueden afectar la integridad de los datos de una organización y causar estragos en la productividad. Afortunadamente, existen herramientas y estrategias disponibles para ayudar a las organizaciones a mejorar la seguridad de su red. Estas mejoras pueden ser extremadamente útiles para reducir el riesgo de ataques cibernéticos y proteger los datos críticos.
En los últimos años, Chile se ha visto afectado por ciberataques cada vez más frecuentes que han afectado a empresas de todos los tamaños. Según el último informe de la Oficina de Seguridad Cibernética del país, en 2020 se registraron más de 5.500 incidentes de ciberseguridad, lo que representa un aumento de un 46% desde el año anterior.
La seguridad informática es algo esencial para mantener la integridad de los datos y la privacidad de los usuarios. Existen varias herramientas disponibles para ayudar a proteger los sistemas y los datos, desde antivirus hasta herramientas de auditoría.
En la actualidad, la seguridad informática es un tema de gran importancia para todas las organizaciones. Es necesario establecer mecanismos de seguridad para proteger los datos y la infraestructura de los ataques cibernéticos. Una forma eficaz de hacerlo es mediante la auditoría de seguridad informática.
¿Estás buscando la mejor manera de garantizar la seguridad de la red en tu empresa? Con los constantes cambios en el mundo de la tecnología, es importante que las empresas mantengan un estricto control de los sistemas de seguridad informáticos. Por eso, aquí te presentamos 10 consejos para lograr mantener la seguridad de la red en tu empresa en un buen nivel.
Se suele relacionar la palabra hacker o hacking con una connotación negativa, pero el hacking ético no tiene nada que ver con los piratas informáticos ni ciberdelincuentes. El hacking ético hace referencia a la práctica que hace una persona altamente formada y con grandes conocimientos sobre informática y ciberseguridad, para ayudar a una empresa a detectar vulnerabilidades y debilidades. Es una disciplina de la informática que se basa en el uso de herramientas y técnicas de piratería informática con fines de mejorar la seguridad de los sistemas informáticos.
En los últimos años, el número de ciberataques en Latinoamérica ha aumentado. Todos hemos oído hablar de la fuga de información del Ejército Nacional de Colombia, en donde según algunas versiones, fue provocada por agentes de inteligencia de un país cercano, comprometiendo información sensible de operaciones y orientaciones tácticas.