Comprar y vender por Internet

El Internet a través del comercio electrónico a abierto un sinnúmero de oportunidades, las Compañías de Seguro en constante crecimiento actualmente se esfuerzan por ofrecer una compra segura por Internet, mientras un gran numero de nuevos empresarios de Internet buscan consolidar sus empresas en la red.

Bloggers - Meet Millions of Bloggers Internet Blogs

VBulletin 3.8.6: Problema de seguridad

September 5, 2010 | Filed under: Herramientas,Tecnología | Posted by:

Exploit en versiones anteriores a 3.8.6 de VBulletin

Recientemente gracias a un comunicado enviado por Andres Duran del equipo de soporte de VBHispano para VBulletin nos hemos informado acerca de un aparente riesgo de seguridad encontrado en cualquier versión anterior a VBulletin 3.8.6 PL1.

Según detalla Andres El detalle del exploit se encuentra en el siguiente link vBulletin 3.8.4 & 3.8.5 Registration Bypass Vulnerability

Funcionamiento de la falla de seguridad en VBulletin

1. Ve a la dirección:

Código:

http://www.página.com/foro/register.php

2. Supongamos que en el foro hay un usuario con privilegios administrativos que usa el nombre de usuario ADMIN

3. Regístrate con el nombre de usuario ADMIN&#00

4. Completa todo el proceso del registro

5. Ahora verás el nombre de usuario que acabas de registrar igual al de ADMIN

El exploit radica en que podrás leer los mensajes privados que reciba el usuario ADMIN.

Solución (temporal) a la falla de seguridad de Vbulletin 3.8.6

La solución es temporal, mientras vBulletin Solutions hace oficial el exploit. Se debe evitar que los usuarios utilicen los caracteres & y # en el registro. Para ello, colocar la siguiente expresión regular en:

AdminCP -> Opciones de vBulletin -> Opciones de Registro de Usuarios -> Expresión Regular de Nombre de Usuario

Código:

^[a-zA-Z0-9\.@_ ]+$

Con eso, los usuarios solo podrán utilizar cualquier caracter alfanumérico, los símbolos @ y _, y el espacio para su nombre de usuario.

VBulletin Hispano, a decidido dada la gravedad del asunto enviar un comunicado a todos sus usuarios y también a aquellos que han declinado recibir correos de parte de VBHispano.

Fuentes:

Serious security flaws found in vBulletin 4.0.x branch – Axivo Forums

Discusión en vBulletin.com:

vBulletin Community Forum

Editor en Jefe y Fundador de elinternet.es portal que sirve de fuente principal de información para de The Internet Magazine. Sígueme en twitter.
Acerca de internet
Ver todas las publicaciones por internet
FabrizioSitio Web