El rincón de Zerial

Así es, pareciera ser que los errores de programación (bug) que dejan expuestos a los usuarios mediante vulnerabilidades Cross-Site Scripting (XSS) estan de moda, es increible ver la cantidad de sistemas de todo tipo que tienen este tipo de vulnerabilidad. Desde un simple sitio web de noticias hasta un sistema bancario. La unica explicación que [...]

[Leer Más →]

Parece que fuese una moda de las tiendas de computación el ser vulnerable a XSS. Conocimos el caso de WEI y de SYM, ahora es el turno de PCFactory. Cuando descubrí el bug tenian una versión más antigua del sitio web, sin embargo, luego que la actualizaran a la version actual, me di cuenta que [...]

[Leer Más →]

Hace un par de semanas reporté publicamente la existencia de una vulnerabilidad XSS y posible SQL Injection en el sitio web de SYM, http://www.sym.cl. Recibí una estupida respuesta por parte de una persona que se hace llamar “MadBox”, quien decia textualmente: el sitio de sym es vulnerable a todo a proposito y les encuentro razón [...]

[Leer Más →]

El sitio web que TVN destinó a las transmisiones del mundial, http://tvndeportes.cl, permite que cualquier persona pueda redireccionar a algun usuario a un sitio maligno. La URL vulnerable es http://tvndeportes.cl/intersitial/index.html?link=, a “link” podemos asignarle cualquier URL y el navegador será redireccionado a esa URL. Por ejemplo: http://tvndeportes.cl/intersitial/index.html?link=http://sitio.webmaligno.com/pics/pics.exe Quizá este método solo nos permita redireccionar a [...]

[Leer Más →]

Tras el post anterior, la empresa afectada se ha comunicado conmigo vía correo electrónico agradeciendo y comunicando que solucionarán el problema lo antes posible Estimado Fernando: Me dirijo a usted como representante de la Empresa E-Sign, en mi calidad de Gerente de Operaciones,  para comentarle algunos de los alcances que ha tenido para nosotros el  [...]

[Leer Más →]

E-Sign (cl) corresponde a los representantes y/o partners de VeriSign, una reconocida marca de seguridad informática a nivel mundial y como tal, ofrecen servicios de seguridad informatica, certificados de seguridad, auditorias, etc. La empresa E-Sign ofrece el servicio de Anti Phishing y Consultoría de Seguridad, entre otros. Sin embargo, el sitio web de dicha empresa [...]

[Leer Más →]

El sitio web de WEI (una tienda de productos informáticos) presenta una vulnerabilidad XSS en su buscador, ésto podría permitir el robo de identidad y acceso a información confidencial de sus clientes. La URL vulnerable es http://www.wei.cl/catalogue/product_search.htm?ph=&query= Podemos inyectar código javascript en el valor de la variable “ph” y con esto insertar un frame o [...]

[Leer Más →]

La semana pasada he descubierto una vulnerabilidad Cross-Site Scripting (XSS) en el sitio web de RedBanc. Redbanc S.A.. es una empresa que presta servicios de interconexión bancaria, es decir permite a los clientes de todos los bancos asociados realizar distintas operaciones, depósitos, transferencias, giros, etc. a través de una red cajeros automáticos, que son computadores [...]

[Leer Más →]

Para los que no saben lo que es la tarjeta bip: Este sistema de pago del transporte público de Santiago, tiene un sistema que nos permite monitorear en línea los saldos y los movimientos de nuestra tarjeta y de ésta forma saber dónde cargamos con dinero la tarjeta, en qué buses o metro la usamos, [...]

[Leer Más →]