Quién no jugó con la página de su universidad, probando xss o alguna otra vulnerabilidad menor. Todo el mundo lo hizo.
Personalmente cuando se trata de un xss o alguna vulnerabilidad menor opto por obviar su divulgación.
Cuando hablamos de un sqli o lfi o rfi o algún otro tipo de vulnerabilidad fácil de explotar y de criticidad elevada se genera en mi un dilema: tanto reportarlo como no hacerlo es un problema.
No divulgarlo es un acto irresponsable cuyas consecuencias podrían tener efecto sobre muchas personas. Informar la vulnerabilidad a los responsables también es un problema porque conlleva la posibilidad de una denuncia penal.
Ayer, buscando el pdf del plan de estudio de la UNLA, encontré un Download arbitrary file: es decir una vulnerabilidad que permitía descargar cualquier archivo del servidor.
El código parecía especialmente hecho para ser explotado, como si tuviera la finalidad de un reto, porque cuando ponías una ruta incorrecta te redirigía a un archivo flash.
Como se muestra a continuación el código solo comprobaba que la ruta empezara con el nombre del directorio donde se alojaban los pdfs.
El error fue reportado y arreglado. No recibí ni las gracias.
Mi consejo sigue siendo el mismo: si tu conciencia te deja vivir sabiendo que existe la posibilidad de que alguien haga daño, guardá el secreto.
