Despues del ultimo post relacionado con la vulnerabilidad que permitia acceder al código fuente del sistema, hubo distintos tipos de reacciones por parte de los usuarios y de las empresas involucradas. Otras vulnerabilidades comenzaron a ver la luz, como por ejemplo la que afecta al sistema de asignación/modificación de los pagos automaticos de cuentas (pat/pac), [...]
Entradas etiquetadas como 'Seguridad'
Vulnerabilidad en las cuentas PAC/PAT y reacciones del Santander
Diciembre 30th, 2011 · 16 Comentarios
Etiquetas: Hacking · Interes general · Seguridad · Sitios Vulnerables
Acceso al codigo fuente del Banco Santander Chile
Diciembre 27th, 2011 · 65 Comentarios
Ya he publicado algunas vulnerabilidad que afectan a los clientes del Santander, esta vez escribiré sobre una vulnerabilidad que afecta directamente al Banco y que permite al atacante obtener el codigo fuente de la banca. El atacante puede navegar por los directorios en busca de los archivos “asp” y descargar el archivo, teniendo acceso al [...]
Etiquetas: Hacking · Interes general · Seguridad · Sitios Vulnerables
Transferencia de Zona en los DNS de Scotiabank
Diciembre 19th, 2011 · 6 Comentarios
Hace un tiempo escribí sobre las vulnerabilidades AXFR, tambien publiqué un script que nos ayuda a buscar dns que tengan esta configuración. Los bancos no solo tienen vulnerabilidades web, tambien tienen servicios que se encuentran mal configurados, como es el caso de Scotiabank, que tiene los servicios DNS configurados de forma tal que permiten a [...]
Etiquetas: Hacking · Seguridad
Fallos de seguridad en Huntcha.com
Diciembre 8th, 2011 · 3 Comentarios
Huntcha.com es un sistema hecho para “encontrar a tu amor secreto”, ingresas tus datos, registras a tu amor secreto y si tu amor secreto te agrega a ti, entonces el sistema detecta esa coincidencia y te da la alerta. Por lo tanto, ingresando a la cuanta de algun usuario es posible saber quienes son “los [...]
Etiquetas: Hacking · Interes general · Privacidad · Seguridad · Sitios Vulnerables
Robo de credenciales y suplantación de identidad en sitio web del Registro Civil
Noviembre 30th, 2011 · 4 Comentarios
Hace un par de semanas fueron reportadas en Secureless 2 vulnerabilidades Cross-Site Scripting (XSS) que afectaban al sitio web del Registro Civil en Chile, tambien fueron reportadas mediante el grupo de respuesta ante incidentes (CSIRT) del Ministerio del Interior, quienes ellos mismos se acercaron a mi luego de la charla de la Computer Security Conference [...]
Etiquetas: Hacking · Interes general · Privacidad · Seguridad · Sitios Vulnerables
Secureless: Estadisticas de sitios web vulnerables
Noviembre 28th, 2011 · 3 Comentarios
En la conferencia de seguridad recien pasada, tuve la oportunidad de presentar el Proyecto Secureless, demostrando la realidad de las vulnerabilidades web de distintos sitios, por categoria, dominio y por tipo de organizacion. Durante aproximadamente 7 meses hemos estado recopilando sitios webs con distintas vulnerabilidades, gracias a nuestras propias investigaciones o colaboraciones de distintos usuarios, [...]
Etiquetas: Interes general · Mis cosas · Proyectos · Seguridad · Sitios Vulnerables
Directory Listing en Corpbanca.cl
Noviembre 25th, 2011 · 6 Comentarios
El Listado de Directorios en si no es una vulnerabilidad o fallo crítico, todo depende de que tipo de información nos divulgue. El servidor del Banco Corpbanca permite listar directorios entregando información sensible sobre los archivos del sistema, por ejemplo permite acceder a archivos como “ComprobanteCargoAbono_Personas.aspx.20081217“, un respaldo del año 2008 del archivo ComprobanteCargoAbono_Personas.aspx que, [...]
Etiquetas: Hacking · Seguridad
8.8: Computer Security Conference Chile
Noviembre 22nd, 2011 · 9 Comentarios
El pasado viernes 18 de noviembre se realizó la primera versión de la 8.8, una conferencia orientada a la seguridad informática y hacking. Tuve el agrado de exponer sobre el Proyecto Secureless, que llamó la atención de varios de los asistentes y gracias a eso logré tener contacto con distintas personas encargadas de la seguridad [...]
Etiquetas: Anecdotas · Interes general · Mis cosas · Seguridad
MyStore vulnerable a Cross-Site Scripting: Miles de sitios afectados
Octubre 19th, 2011 · 6 Comentarios
MyStore es una plataforma de comercio electrónico (eCommerce) escrita en PHP y utilizada por miles de sitios web. La plataforma tiene una vulnerabilidad Cross-Site Scripting en el archivo usado para desplegar errores al usuario, en el módulo de administración y es accesible por cualquier usuario sin previa autentificación, por lo que es posible explotar la [...]
Etiquetas: Hacking · Seguridad · Sitios Vulnerables
