Nuevo vector de ataque a la web de ViaAzul, Servicio de la Empresa de Ómnibus Nacionales de Cuba.
Esta web como el 90% de las que implementan algún servicio también tiene sus vulnerabilidades, como buena practica siempre buscar sus Backoffice y sus API, por ejemplo.
💡 https://api.wetransp.com/
{
"links": {
"help": "http://api.wetransp.com:8955/v1/help",
"signup": "http://api.wetransp.com:8955/v1/sign-up",
"login": "http://api.wetransp.com:8955/v1/auth/login",
"logout": "http://api.wetransp.com:8955/v1/auth/logout",
"province": "http://api.wetransp.com:8955/v1/province",
"provinceHelp": "http://api.wetransp.com:8955/v1/province-help",
"municipality": "http://api.wetransp.com:8955/v1/municipality",
"municipalityHelp": "http://api.wetransp.com:8955/v1/municipality-help",
"locality": "http://api.wetransp.com:8955/v1/locality",
"localityHelp": "http://api.wetransp.com:8955/v1/locality-help",
"via": "http://api.wetransp.com:8955/v1/via",
"viaHelp": "http://api.wetransp.com:8955/v1/via-help",
"typeStop": "http://api.wetransp.com:8955/v1/type-stop",
"typeStopHelp": "http://api.wetransp.com:8955/v1/type-stop-help",
"typePlace": "http://api.wetransp.com:8955/v1/type-place",
"typePlaceHelp": "http://api.wetransp.com:8955/v1/type-place-help",
"place": "http://api.wetransp.com:8955/v1/place",
"placeHelp": "http://api.wetransp.com:8955/v1/place-help",
"segment": "http://api.wetransp.com:8955/v1/segment",
"segmentHelp": "http://api.wetransp.com:8955/v1/segment-help",
"route": "http://api.wetransp.com:8955/v1/route",
"routeHelp": "http://api.wetransp.com:8955/v1/route-help",
"routeSegment": "http://api.wetransp.com:8955/v1/route-segment",
"routeSegmentHelp": "http://api.wetransp.com:8955/v1/route-segment-help",
"busStop": "http://api.wetransp.com:8955/v1/bus-stop",
"busStopHelp": "http://api.wetransp.com:8955/v1/bus-stop-help",
"frequency": "http://api.wetransp.com:8955/v1/frequency",
"frequencyHelp": "http://api.wetransp.com:8955/v1/frequency-help",
"schedule": "http://api.wetransp.com:8955/v1/schedule",
"scheduleHelp": "http://api.wetransp.com:8955/v1/schedule-help",
"scheduleBusStop": "http://api.wetransp.com:8955/v1/schedule-bus-stop",
"scheduleBusStopHelp": "http://api.wetransp.com:8955/v1/schedule-bus-stop-help",
"rol": "http://api.wetransp.com:8955/v1/rol",
"rolHelp": "http://api.wetransp.com:8955/v1/rol-help",
"permission": "http://api.wetransp.com:8955/v1/permission",
"permissionHelp": "http://api.wetransp.com:8955/v1/permission-help",
"person": "http://api.wetransp.com:8955/v1/person",
"personHelp": "http://api.wetransp.com:8955/v1/person-help",
"pin": "http://api.wetransp.com:8955/v1/pin",
"pinHelp": "http://api.wetransp.com:8955/v1/pin-help",
"agency": "http://api.wetransp.com:8955/v1/agency",
"agencyHelp": "http://api.wetransp.com:8955/v1/agency-help",
"_": "http://api.wetransp.com:8955/v1/_",
"_Help": "http://api.wetransp.com:8955/v1/_-help",
"?": "http://api.wetransp.com:8955/v1/?",
"?Help": "http://api.wetransp.com:8955/v1/?-help",
"@": "http://api.wetransp.com:8955/v1/@",
"@Help": "http://api.wetransp.com:8955/v1/@-help",
"itinerary": "http://api.wetransp.com:8955/v1/itinerary",
"itineraryHelp": "http://api.wetransp.com:8955/v1/itinerary-help",
"rolPermission": "http://api.wetransp.com:8955/v1/rol-permission",
"rolPermissionHelp": "http://api.wetransp.com:8955/v1/rol-permission-help",
"permissionPerson": "http://api.wetransp.com:8955/v1/permission-person",
"permissionPersonHelp": "http://api.wetransp.com:8955/v1/permission-person-help"
}
}Aquí el error, quien lo explota?. Blind SQL Injection
Recuerden que no podemos decir mucho, porque de lo contrario le estamos haciendo el trabajo a las CIBERCLARIAS. pero con esto ya es una idea.
ABAJO LA DICTADURA.