El rincón de Zerial

Pasa el tiempo y, luego de haber reportado las vulnerabilidades que afectaban a Servipag, siguen apareciendo nuevas vulnerabilidades que afectan al portal de pagos. Esta vez se trata de 2 nuevas vulnerabilidades, una reportada en Secureless, que atenta contra la privacidad de los usuarios, permitiendo que cualquier persona pueda acceder a los comprobantes de pago [...]

[Leer Más →]

Ultimamente se han puesto de moda los ataques de “Anonymous”, ataques como tirar un sitio abajo o saturación de servidores, algo bastante simple que no requiere mucho conocimiento y es por esto que mucha gente se ha sumado. Algunos medios los han llamado ‘hackers‘ otros ‘simples aficionados que se descargan un programa, introducen una URL, [...]

[Leer Más →]

Ya vimos en el caso de Servipag unos filtros de protección anti LFI inútiles, ahora es el turno de uno de los sitios web de Cooperativa.cl, el cual implementa unos filtros de protección anti-XSS y anti-SQLi bastante vergonzosos y obviamente de “protección” no tiene nada. El sitio afectado corresponde al subdominio “musica.cooperativa.cl” el cual es [...]

[Leer Más →]

Falabella y Ripley son dos “grandes tiendas” que permiten que sus clientes puedan realizar compras online, ambas dicen ser “100% seguras” y están certificadas por VeriSign. El primer error: existe la seguridad al 100% ? Ambos sitios son vulnerables a ataques Cross-Site Scripting, permitiendo que un atacante use el sitio web de cada tienda para [...]

[Leer Más →]

Ya vimos que los servidores mal configurados que permiten realizar transferencias de zona sin restricciones desde cualquier IP son muchos. Para saber si un servidor DNS es “vulnerable” a este tipo de ataque usamos la herramienta dig, primero obtenemos los dns que estan asociados al dominio, para este ejemplo usaremos el dominio zerial.org. $ dig [...]

[Leer Más →]

Ya muchos leyeron mi post anterior sobre la seguridad del servicio que ofrece Servipag, la idea de este nuevo artículo es hacer un tipo de benchmark de seguridad entre los tres principales servicios de pagos de cuentas online: Servipag, Sencillito y MisCuentas. Analizaré las validaciones que hacen estos servicios, que tan vulnerables a ataques de [...]

[Leer Más →]

Las transferencias de zona en los servidores de DNS en simples palabras se usa para replicar lo que hay en un maestro hacia su escalvo. Si esta caracteristica se encuentra mal configurada podria ser usada por un atacante para obtener información sensible sobre el dominio. Un servidor maestro debe filtrar por dirección IP qué esclavos [...]

[Leer Más →]

Esta plataforma de Software permite administrar contenidos y hacer sustentables sitios Web de alta complejidad. Los documentos se almacenan en un reservorio de conocimiento y pueden ser caracterizados según múltiples miradas (clasificandos). Engine apoya las labores de Arquitectura de Información, Modelamiento, Diseño, Poblamiento y Edición de Contenidos, interconectando las labores del equipo de trabajo a [...]

[Leer Más →]

Prontus es un administrador de contenidos web flexible, fácil de usar, robusto y eficiente, con una trayectoria de más de 12 años en el mercado y utilizado por cientos de clientes que lo han aplicado en sus portales corporativos, servicios editoriales y sitios web transaccionales. Este CMS tiene una vulnerabilidad Cross-Site Scripting que afecta a [...]

[Leer Más →]