El rincón de Zerial

Ultimamente se han registrado varios ataques a sitios de Sony en distintos paises y Chile no se queda atrás. Detectamos dos vulnerabilidades en el sitio web de Sony Chile correspondientes a Cross-Site Scripting y Arbitrary URL Redirection, las cuales pueden ser explotadas por un atacante para robar credenciales y datos personales de los usuarios y [...]

[Leer Más →]

El banco BBVA Chile no se queda atras en sus vulnerabilidades y buscando donde poder reportarlas no he encontrado nada, solo teléfonos donde piden demasiada información personal. No hay ningun formulario ni correo electrónico, por lo que nuevamente se acude a la tecnica de la publicación. Al igual que lo comentado en el post de [...]

[Leer Más →]

Con esta vulnerabilidad es posible robar información sensible y suplantar la identidad del usuario. Justo en la fecha de la devolución de impuestos aparece esta vulnerabilidad en el login del sistema. Permite redireccionar a un usuario, luego de logearse, a cualquier sitio e incluso permite el robo de cookies mediante ejecución arbitraria de javascript en [...]

[Leer Más →]

Hace unos meses reporté una vulnerabilidad XSS en la banca de personas del Banco Santander, la cual no ha sido corregida. Ahora, segun la campaña anunciada por parte de Secureless, retomaré este mismo bug y aprovecharé de reportar otros que hemos encontrado, además preparé unas pruebas de concepto para dejar en claro que podemos hacer [...]

[Leer Más →]

Se está poniendo de moda el phishing y el robo de datos bancarios para realizar transferencias no deseadas, cada vez son mas los usuarios afectados y muchos de ellos no logran recuperar su dinero, simplemente el banco no responde. Por un lado tienen razón, ya que quien entregó su información personal y privada fueron ellos [...]

[Leer Más →]

Reportamos en Secureless una serie de vulnerabilidades XSS y CSRF que afectan al sitio web de Movistar y a sitios relacionados a la empresa. Los sitios afectados son: http://www.movistar.cl http://www.mcloud.cl http://www.188.cl Las vulnerabilidades detectadas nuevamente ponen en riesgo la seguridad del usuario aprovechandose de la confianza que existe desde el usuario hacia el sitio y [...]

[Leer Más →]

Como proyecto del hacklab, nace “Secureless“, un sitio web que busca centralizar y almacenar una base de datos de sitios web vulnerables con las tipicas vulnerabilidades como XSS, SQL-I, etc. Secureless nace simplemente de la necesidad de investigar y aprender aun mas sobre este tipo de vulnerabilidades y seguridad en la web. Aunque a muchos [...]

[Leer Más →]

El fin de semana recien pasado, nos juntamos en el laboratorio en una “hacking night” analizando vulnerabilidades web de varios sitios, entre ellos estuvo el de ESET Latinoamerica. La vulnerabilidades encontradas fueron del tipo “descubrimiento de informacion” que nos permitieron descubrir el path, el usuario de sistema, usuario de base de datos, nombre de la [...]

[Leer Más →]

La vulnerabilidad afecta al sitio web “J!People: Network with Friends” de Joomla.org. El error se produce en el archivo events.html al no filtrar la variable “groupid”, pudiendo generar un error que nos mostrará información relevante para poder hacer la inyección de código SQL. URL original: http://people.joomla.org/events.html?groupid=44 Inyección SQL: http://people.joomla.org/events.html?groupid=1%20or%201=0%20union%20select%20all%201,2,3,4,5,6,7;%20– No descarto que esta vulnerabilidad sea [...]

[Leer Más →]