El rincón de Zerial

Así es, el Centro de Formación Técnica “Lota Arauco” expone en su sitio web los datos e información personal de más de 3 mil alumnos. Este ejemplo solo nos demuestra que nadie sabe donde irá a parar nuestra información, nadie nos asegura que los datos entregados a un tercero serán perfectamente tratados y que nadie [...]

[Leer Más →]

Así es, pareciera ser que los errores de programación (bug) que dejan expuestos a los usuarios mediante vulnerabilidades Cross-Site Scripting (XSS) estan de moda, es increible ver la cantidad de sistemas de todo tipo que tienen este tipo de vulnerabilidad. Desde un simple sitio web de noticias hasta un sistema bancario. La unica explicación que [...]

[Leer Más →]

Parece que fuese una moda de las tiendas de computación el ser vulnerable a XSS. Conocimos el caso de WEI y de SYM, ahora es el turno de PCFactory. Cuando descubrí el bug tenian una versión más antigua del sitio web, sin embargo, luego que la actualizaran a la version actual, me di cuenta que [...]

[Leer Más →]

Hace un par de semanas reporté publicamente la existencia de una vulnerabilidad XSS y posible SQL Injection en el sitio web de SYM, http://www.sym.cl. Recibí una estupida respuesta por parte de una persona que se hace llamar “MadBox”, quien decia textualmente: el sitio de sym es vulnerable a todo a proposito y les encuentro razón [...]

[Leer Más →]

El sitio web que TVN destinó a las transmisiones del mundial, http://tvndeportes.cl, permite que cualquier persona pueda redireccionar a algun usuario a un sitio maligno. La URL vulnerable es http://tvndeportes.cl/intersitial/index.html?link=, a “link” podemos asignarle cualquier URL y el navegador será redireccionado a esa URL. Por ejemplo: http://tvndeportes.cl/intersitial/index.html?link=http://sitio.webmaligno.com/pics/pics.exe Quizá este método solo nos permita redireccionar a [...]

[Leer Más →]

Como desarrollador y administrador de sistemas, he tenido varias experiencias y se como funciona esto de la asignación de contraseñas y de accesos por defecto, ya sea cuando el sistema lo usaran unas cuantas personas o varias. Me refiero tanto a los sitemas web como accesos por distintos servicios tales como ssh, ftp, correos electrónicos, [...]

[Leer Más →]

Tras el post anterior, la empresa afectada se ha comunicado conmigo vía correo electrónico agradeciendo y comunicando que solucionarán el problema lo antes posible Estimado Fernando: Me dirijo a usted como representante de la Empresa E-Sign, en mi calidad de Gerente de Operaciones,  para comentarle algunos de los alcances que ha tenido para nosotros el  [...]

[Leer Más →]

E-Sign (cl) corresponde a los representantes y/o partners de VeriSign, una reconocida marca de seguridad informática a nivel mundial y como tal, ofrecen servicios de seguridad informatica, certificados de seguridad, auditorias, etc. La empresa E-Sign ofrece el servicio de Anti Phishing y Consultoría de Seguridad, entre otros. Sin embargo, el sitio web de dicha empresa [...]

[Leer Más →]

El otro día, haciendo revisión y limpieza en los servidores, me dediqué por un par de minutos a revisar los archivos .bash_history de algunos usuarios y me encontre con varias sorpresas, desde cosas chistosas hasta problemas críticos de seguridad. Los usuarios son muy buenos para inventar comandos, probar cosas, inventar pasarle parametros a los comandos, [...]

[Leer Más →]