Contactos
an image
EMPAI
Calle 183 No.27406 entre 274 y 276. Pueblo Nuevo, Matanzas. Cuba
Email: Empai


Teléfonos:(53 (45) 291802, 291824, 291495
Fax: (53 (45) 253177





alexis2 Ing. Alexis Ramón Domínguez Arrojo.Ingeniero Informático, Miembro de la Federación de Radioaficionados de Cuba. Desarrollador de software y administrador de redes de la Empresa de Mantenimiento a los Grupos Electrógenos de Fuel-Oil. Plaza de la Revolución,LaHabana,Cuba.                                                                Email:cl2ada@frcuba.cu 
JUAN CARLOS ART 2 Dr. Ing. Juan Carlos Sepúlveda Peña.  Dr. en Ciencias Informáticas, Ingeniero en Control Automático, Profesor Titular de la Facultad de Informática del Instituto Superior Politécnico José Antonio Echeverría. Calle 114 e/ 119 y 127, Marianao, La Habana, Cuba                                                                    Email: jcarlos@ceis.cujae.edu.cu
YULIER ARTC 2 Dr. Ing. Yulier Núñez Musa.  Dr. en Ciencias Informáticas, Profesor Titular de la Facultad de Informática del Instituto Superior Politécnico José Antonio Echeverría. Calle 114 e/ 119 y 127, Marianao, La Habana, Cuba Email: jnunezm@ceis.cujae.edu.cu 

RESUMEN:

En la era de la Internet se utilizan cada vez más diversas tecnologías para llevar la información y el conocimiento a personas de todo el mundo. Algunas de ellas son los Sistemas para la Gestión del Aprendizaje como Moodle; los blogs, los sitios y portales web, basándose buena parte de estos en populares Sistemas Gestores de Contenidos como Joomla, Wordpress y Drupal. Estas tecnologías tienen en común la necesidad de usar un Sistema Gestor de Base de Datos para su funcionamiento en general, lo que incluye el uso de tablas para almacenar datos de los usuarios que tendrán acceso al sistema e información necesaria para su autenticación. Estos sistemas son administrados por personas que poseen elevados números de privilegios y que pueden explotar las vulnerabilidades presentes en Joomla, Wordpress, Drupal y Moodle para apropiarse de la cuenta de un usuario determinado para realizar actos perjudiciales con el nombre de dicha cuenta; esto lo logra al suplantar el password que existe en la base de datos (que él administra) asociado a un usuario por un nuevo password generado por él, sin que el usuario víctima lo note y pueda impedirlo. De ahí que el objetivo del artículo sea demostrar la existencia de dichas vulnerabilidades y como pueden ser explotadas por este tipo de personas con la intención de hacer daño, alertando de esta manera a los usuarios y a los desarrolladores de estas tecnologías para que tomen medidas al respecto. Los autores dan una propuesta de solución a esta situación.

 

PALABRAS CLAVES: Base de datos, sistema gestor de base de datos, sistemas gestores de contenidos, sistemas para la gestión del aprendizaje, vulnerabilidades.

ABSTRACT

In the era of the Internet the information and knowledge, utilize to people of whole more and more various carryout technologies the world. Some there are Learning Management Systems like Moodle; sites and portals Web, having a base good part of these in popular Content Management Systems like Joomla, Wordpress and Drupal. These technologies have the need to use Data Base Management Systems for his functioning in general jointly that includes the use of tables to store data of the users that will have access to the system and necessary information for its authentication. People administrate the systems that they possess elevated numbers of privileges and that the present vulnerabilities in Joomla, Wordpress, Drupal and Moodle to take possession of the account of a user determined can exploit to accomplish nuisances under the name of the aforementioned account. This achieves it taking some my place the password that exists in database (that he administrates) once a user for a new password generated by him was associated, without than the user victim note it and may impede him. So that the objective of the article be to demonstrate the existence of the aforementioned vulnerabilities and as they can be exploited by this people's type with the intention of being harmful, alerting this way the users and to the developers of these technologies in order that they take measures to the respect. The authors give a proposal of solution to this situation.

KEY WORDS:

Databases, data base management systems, content management systems, learning management systems, vulnerabilities

Articulo completo