Comentarios en: Grave vulnerabilidad del tipo Cross-Site Scripting en sitio web de RedBanc

Por: Sitios Vulnerables « FLASH2009 Blog

Sitios Vulnerables « FLASH2009 Blog — Thu, 14 Apr 2011 00:28:13 +0000

[...] http://blog.zerial.org/seguridad/vulnerabilidad-cross-site-scripting-xss-en-sitio-web-de-redbanc/ [...]

Por: vlascon

vlascon — Mon, 12 Apr 2010 22:17:22 +0000

Muchas veces confundimos los focus de seguridad, creo que en empresas de este tipo privadas como publicas es imperdonables tener fallas de seguridad, pero debemos considerar que en una empresa como transbank o la misma nasa, deberian tener los servidores web y de correos totalmente aislados a es mas… recuerdo alguna vez haber entrado a la web de transbank por una falla de actualizacion de IIS, sin nada de experiencia y de pura casualidad me veia entre el index y el contacto hahahaha la verdad que no vi nada mas que fuera de utilidad mas que un servidor windows corriendo apache….

En todo caso por muy whitehat que se trate de ser es nada el agradecimiento de los administradores…

Saludos!

Por: Zerial

Zerial — Thu, 04 Mar 2010 14:24:41 +0000

@Javier: Creo que este tipo de vulnerabilidad es de las mas comunes y tiene varias formas de ser explotada. Esta falla no afecta directamente al sitio, puesto que no se puede modificar informacion del sitio y cosas por el estilo. Los afectados son los usuarios y muchas veces usuarios que ni si quiera tienen relacion con el sistema.

Por: Javier

Javier — Thu, 04 Mar 2010 03:54:29 +0000

Así es, de hecho hace unos años usé neomail… no estaba tan mal (al menos estéticamente hablando .
Sin embargo, si bien el XSS es como vos bien aclarás en una aplicación “tercera”, lo que me llamó la atención es que en un lugar que debería primar la seguridad se esté usando un webmail taaaan viejo. Clásica rutina de seguridad: mantener el software actualizado!

Ya que estoy por aquí:
Hace unos días estaba mirando imágenes en http://winds.jpl.nasa.gov/imagesAnim/quikscat.cfm cuando encontré este XSS:

http://winds.jpl.nasa.gov/imagesAnim/images.cfm?pageName=ImagesAnim&subPageName=QuikSCAT&Image=QS_S1B28865%22%3E%3Cscript%3Ealert%28/XSS/%29%3C/script%3E

Luego de googlear un ratito descubrí que se reportaron un montón de XSS dentro de páginas de la NASA, también en sites del Pentágono, etc. No es increible que este tipo de sites presenten vulnerabilidades taaaan obscenas? Por qué no validan (mejor?) la entrada?

saludos nuevamente,
javi (gracias por compartir tan buen blog, zerial!)

Por: Zerial

Zerial — Thu, 04 Mar 2010 02:09:19 +0000

Hola @Javier!

Fijate que la URL vulnerable corresponde a “neomail”. Neomail es una webmail gratuito, libre y de codigo abierto. Lo mas seguro es que ese bug ya este corregido, pero al parecer la versoin de ese webmail es antiguo. Fijate en esta url: http://www.securityfocus.com/bid/17728 Corresponde a una vulnerabilidad reportada y parcheada el año 2006.

Gracias por el aporte!

saludos

Por: Javier

Javier — Thu, 04 Mar 2010 02:00:51 +0000

Buenísimo que estés OK, Zerial!

Puedo compartir algo al respecto?

En http://mail.defensa.cl:82/ dicen
USTED ESTÁ ACCESANDO AL CORREO ELECTRÓNICO PÚBLICO, DEL ESTADO MAYOR DE LA DEFENSA NACIONAL POR EL CUAL SÓLO SE AUTORIZA TRÁFICO DE INFORMACIÓN CLASIFICADA “ORDINARIA” QUE PUEDE SER PÚBLICA.

LA INFORMACIÓN QUE CIRCULA POR ESTE CORREO SERÁ SOMETIDA A LA REVISIÓN DE SU CONTENIDO, EN FORMA ALEATORIA, PARA CONTROLAR QUE NO SE INCURRA EN FALTAS A LA SEGURIDAD O SE MAL UTILICE UN BIEN FISCAL, PARA ENVIÓ DE INFORMACIÓN REÑIDAS CON LA MORAL Y LAS BUENAS COSTUMBRES, Y EN GENERAL, CUALQUIER TIPO DE CONTENIDO QUE AFECTEN EL PRESTIGIO DE ESTA ALTA REPARTICIÓN MINISTERIAL.

LA SEGURIDAD ES TAREA DE TODOS

…… y fijate esto:
http://mail.defensa.cl:82/cgi-bin/neomail.pl?sessionid=%22%3E%3Ciframe%20src=%22http://google.com%22%3e

Cosas que pasan, la seguridad en las aplicaciones web deja muuuuucho que desear (inclusive en sites que por definición deberían ser seguros!!!!).

Por: Panic

Panic — Tue, 02 Mar 2010 17:50:56 +0000

Bro, excelente ! muchos saludos
volvimos a las canchas

Por: cor3

cor3 — Tue, 02 Mar 2010 15:01:29 +0000

Como no comentabas nada en el blog, pues nada me alegro que todo esté bien..
al final supe de ti por los mensajes del twitter.

Un cordial saludo un compatriota Chileno que te sigue desde el otro lado del charco!.

Por: Zerial

Zerial — Tue, 02 Mar 2010 13:53:10 +0000

@c0r3: Yo y mi familia y en general mis conocidos estan bien. Aca en santiago no fue tan terrible, por suerte.

@MagnoBalt: Y como dice @Andres, al parecer se trata de una vuln. de hace mas de 2 años.

Por: MagnoBalt

MagnoBalt — Tue, 02 Mar 2010 03:25:13 +0000

Buena Zerial, tambien mando las fuerzas para el pueblo chileno. Y conrespecto al Banco no se puede entender como una empresa, que maneja mucho dinero y donde siempre son el punto de ataque no se tome la molestia de solucionar un XSS, se merece que le hagan algo asi se joden :@

Saludos

Por: cor3

cor3 — Sun, 28 Feb 2010 23:44:23 +0000

esperemos que todo este ok por ahi! fuerzachile

Por: Andres

Andres — Fri, 26 Feb 2010 15:03:37 +0000

Hace más de 2 años que tienen esa vulnerabilidad…
Es increíble que empresas de apoyo al giro bancario sigan con este tipo de problemas.

BTW, no creo que este tipo de vulnerabilidad sea para colocarlos en los Full Disclosure de las seclist….

Por: Уязвимость XSS на RedBanc.cl - D0znpp blog

Уязвимость XSS на RedBanc.cl - D0znpp blog — Fri, 26 Feb 2010 07:18:03 +0000

[...] Товарищ искал, судя по всему LFI, но нашел XSS, хотя не спорю, выглядит оно именно как LFI [...]