El Sistema Integrado de Gestión Académica, también conocido por sus siglas como “GESAC” se trata de un aplicativo web empleado por la Escuela de Gestión Pública Plurinacional (EGPP). El mismo cuenta con el siguiente panel de acceso:
En donde principalmente se evidencia un formulario con los siguientes campos: “username” y “password”, tal y como se observa en el código fuente.
Al interceptar la comunicación entre el navegador y la página web se logra ver la siguiente petición a través del método POST. Aquí se ven nuevamente los parámetros “username” y “password”, y sus respectivos valores, para el ejemplo hemos añadido “User” y “Pass” como cadenas.
Si mandamos la petición como está, por defecto el servidor web nos responderá indicando que las credenciales no son válidas (como es lógico). Observamos los valores recibido respecto al peso de la página y sobre todo el tiempo de respuesta (expresados en milisegundos).
Bien, pues lo que se identificó fue que en esta petición a través del método POST, el parámetro “username” es vulnerable a Inyección SQL, también conocido como SQLi. Por lo tanto, si en este parámetro añadimos nuestro payload, para el ejemplo una simple llamada a la función “sleep”, conseguiremos que el servidor web obedezca a nuestra petición y se “duerma” por el tiempo que le hemos definido. A continuación un par de pruebas de conceptos (PoC):
La vulnerabilidad fue reportada al proveedor a través del Centro de Gestión de Incidentes Informáticos (CGII) de la AGETIC.