Escribiendo un google dork

Adjunto un google hacking interesante, de mi cosecha:

A menudo, los administradores de Ruby on Rails (ror) olvidan ocultar los parámetros de passwords en los ficheros de logs: production.log, development.log o test.log.

No utilizar filter_parameter_logging y publicar cualquier fichero de log en el servidor web puede resultar desastroso.

Google evidencia este problema:

intitle:"index of" +"parent directory" intext:production.log

inurl:production filetype:log intext:password

inurl:production|development|server filetype:log intext:password

Introducciendo estos GH, Google muestra más de 1000 resultados con enlaces a páginas que contienen estos ficheros de logs, que a su vez pueden contener contraseñas en claro.

Basta con abrir uno de ellos, o simplemente observar el texto resumen de cada enlace, para obtener la contraseña de un usuario administrador de una aplicación ror.

Extraído de http://unlugarsinfin.blogspot.es

Comentarios