El rincón de Zerial

El sitio web que TVN destinó a las transmisiones del mundial, http://tvndeportes.cl, permite que cualquier persona pueda redireccionar a algun usuario a un sitio maligno. La URL vulnerable es http://tvndeportes.cl/intersitial/index.html?link=, a “link” podemos asignarle cualquier URL y el navegador será redireccionado a esa URL. Por ejemplo: http://tvndeportes.cl/intersitial/index.html?link=http://sitio.webmaligno.com/pics/pics.exe Quizá este método solo nos permita redireccionar a [...]

[Leer Más →]

Tras el post anterior, la empresa afectada se ha comunicado conmigo vía correo electrónico agradeciendo y comunicando que solucionarán el problema lo antes posible Estimado Fernando: Me dirijo a usted como representante de la Empresa E-Sign, en mi calidad de Gerente de Operaciones,  para comentarle algunos de los alcances que ha tenido para nosotros el  [...]

[Leer Más →]

E-Sign (cl) corresponde a los representantes y/o partners de VeriSign, una reconocida marca de seguridad informática a nivel mundial y como tal, ofrecen servicios de seguridad informatica, certificados de seguridad, auditorias, etc. La empresa E-Sign ofrece el servicio de Anti Phishing y Consultoría de Seguridad, entre otros. Sin embargo, el sitio web de dicha empresa [...]

[Leer Más →]

El sitio web de WEI (una tienda de productos informáticos) presenta una vulnerabilidad XSS en su buscador, ésto podría permitir el robo de identidad y acceso a información confidencial de sus clientes. La URL vulnerable es http://www.wei.cl/catalogue/product_search.htm?ph=&query= Podemos inyectar código javascript en el valor de la variable “ph” y con esto insertar un frame o [...]

[Leer Más →]

A muchas personas, en su mayoría clientes del banco santander, les está llegando hace un tiempo correos con mensajes un tanto creibles y que, para una persona que no está bien preparada para enfrentar este tipo de engaños, podría transformarse en un problema. Los sitios de los bancos generalmente presentan inestabilidades que muchas veces ni [...]

[Leer Más →]

La semana pasada he descubierto una vulnerabilidad Cross-Site Scripting (XSS) en el sitio web de RedBanc. Redbanc S.A.. es una empresa que presta servicios de interconexión bancaria, es decir permite a los clientes de todos los bancos asociados realizar distintas operaciones, depósitos, transferencias, giros, etc. a través de una red cajeros automáticos, que son computadores [...]

[Leer Más →]

Usaré de ejemplo un sitio que ya he usado en alguno de mis post, cuando hice los tests a las empresas de hosting. Mostraré cómo explotar una vulnerabilidad del tipo XSS para hacer phishing, capturar datos de acceso de usuarios para ganar acceso a un sistema, ftp , email, etc. La empresa afectada es una [...]

[Leer Más →]

Sin duda el phishing es una de las técnicas más usadas actualmente para el robo de información y suplantación de identidad, pero debemos reconocer que es todo un arte. Para quienes no saben lo que es el phishing, les extraigo lo siguiente desde la wikipedia: Phishing es un término informático que denomina un tipo de [...]

[Leer Más →]

El phishing es una de las técnicas de robo de identidad e información más fácil de explotar, no porque el hacerlo sea sencillo, sino por las empresas y la gente que no se preocupa de proteger su información. Si bien esta técnica muchas veces requiere de ingenieria social (más aún cuando es un ataque dirigido), [...]

[Leer Más →]