Hace horas que la polémica web del senado está online y por lo que se puede observar las prisas no son buenas. En las primeras horas de vida la página era víctima de un DDoS debido a la afluencia de gente que esperaba ansiosa conocer en que se habían desperdiciado 500.000€. Poco después en Twitter aparecían multitud de defaces - client-side - de la web debido a un incorrecto filtrado de inputs de los usuarios.
 |
| Defaces client-side en senado.es |
Poco tardaron en corregir este error, pero siguen existiendo a lo largo de toda la web y con una simple búsqueda podemos encontrarnos con multitud de errores de filtrado y la simple inexistencia de estos.
<input type="text" id="query" name="query" size="40" value=" NOMBRE:""><h1 style=font-size:50px;>ShellShockLabs</h1><a"" />
Esto no queda aquí solamente, si echamos un ojo al robots.txt, vemos unas cuantas rutas de acceso a ficheros:
User-agent: *
Disallow: /
Disallow: /legis9/publicaciones/html/textos/CG_B015.html
Disallow: /legis9/publicaciones/pdf/cortes/bocg/CG_B015.PDF
Disallow: /legis9/publicaciones/html/textos/CG_B100.html
Disallow: /legis9/publicaciones/pdf/cortes/bocg/CG_B100.PDF
Donde una de estas rutas nos lleva a un documento con cientos de NIFs de personas que se presentaron a oposiciones. Contradiciendo lo escrito en sus políticas:
Asimismo, el Senado garantiza que ha adoptado las medidas de carácter técnico y organizativo de seguridad en sus instalaciones, sistemas y ficheros.
Vistos algunos errores - de los muchos - queda claro que la web no ha tenido el trabajo que se espera de una entidad pública y surge la pregunta ¿A donde ha ido medio millón de euros en desarrollo?
0 comentarios:
Publicar un comentario