Hola!
Muy buenas a todos/as!
A raíz del blog del Maligno. Veo que es posible listar los ficheros y directorios de un servidor web pidiendo un archivo .listing.
Curioseando por Google, me dado cuenta que casi todas las páginas, que yo he consultado constan hospedadas en Hostgator y GoDaddy tienen este fallo.
El fallo consiste en que puedes listar cualquier directorio del servidor web.
Para hacer la prueba hacemos la búsqueda del tipo:
ext:listing en Google
Podemos ver que resultados nos da:
Vale, ahora si entramos en cualquiera de estas direcciones obtenemos..
Todo el directorio web. Y si además utlizamos una búsqueda personalizada, por ejemplo:
ext:listing “sql” obtenemos:
Y podemos asi descargarnos cualquier archivo.
Espero que arreglen pronto el fallo, hay muchísimas páginas webs que tienen este fallo.
Un saludo
Pingback: ¿ Error de segurida en Servidores Web ?·
Hola, gracias por la información pero no creo que sea un fallo de seguridad como tal sino más bien un “descuido” de la gente que se encarga de mantener esas páginas ya que el fichero .listing creo que lo crea un determinado cliente de ftp cuando accede a esos directorios. Me parece que es una especie de “cache” para no tener que pedir los archivos de cada carpeta cada vez que se conecta pero claro, ese fichero luego puede consultarlo cualquier persona…
La verdad es que no se como catalogar este “fallo” ya que no creo que sea un problema de seguridad de los servidores sino más bien un descuido de los administradores o un fallo del cliente de FTP que no tiene en cuenta que se le puede dar mal uso al ficherito en cuestión.
Buen post, muy explicativo.
Desde la ignorancia te pregunto, una vez encuentras listados los ficheros del directorio, comentas “Y podemos asi descargarnos cualquier archivo.” Cómo? Veo que la mayoría si intentas acceder por el puerto 21 ya te solicita credenciales de ftp por lo que, aun siendo un fallo de seguridad, si no puedes descargar el fichero .sql, no “se queda ahi” el tema?
Muchas gracias!