El rincón de Zerial

Esta es mi tercer objetivo, la empresa Golden Data. Hace un tiempo escribí cosas relacionadas a esta empresa donde mostraba una serie de vulnerabilidades del tipo XSS y Full Path/File disclosure, entre otras. En ese momento, me comuniqué con los encargados e intercambiamos 4 o 5 correos. Les comuniqué que tanto su sitio como sitios [...]

[Leer Más →]

El segundo sitio objetivo corresponde a la empresa WebSeo. Debo admitir que a esta empresa no le he informado sobre sus vulnerabilidades por una simple razón: Ellos son expertos en SEO por lo que saber qué sitios hablan de ellos, quienes los linkean, etc no debe ser problema para ellos y se enterarán de inmediato. [...]

[Leer Más →]

La semana pasada publiqué un artículo donde explicaba cómo llegar a realizar un ataque de denegación de servicio con éxito, pues bien, con un grupo de personas nos dedicamos a realizar una prueba de concepto y testear que tan eficáz era. El primer paso fue encontrar un objetivo que tenga una vulnerabilidad SQLi, luego de [...]

[Leer Más →]

Para seguir con la tradición, acá están los 5 sitios vulnerables de la semana. Tres de ellos con vulnerabilidades XSS y uno con SQL Injection, el quinto tiene ambas. Generando un error mediante inyeccion de codigo mysql es posible explotar la vulnerabilidad XSS. Corresponden a las vulnerabildiades SQL Injection y XSS y los sitios son [...]

[Leer Más →]

Más que enseñar a explotar esta vulnerabilidad para provocar un ataque de denegación de servicio, lo que busco es que los desarrolladores sepan la magnitud que puede tener una falla de este tipo (hay que encontrarle el lado white a las cosa .  Un ataque de denegación de servicio (DoS), como su nombre lo dice [...]

[Leer Más →]

Los sitios vulnerables de esta semana correspnden a 5, lo inaceptable es que 3 de ellos pertenecen a la Universidad San Sebastián. Esta semana semana expondré sitios con vulnerabilidades de SQL Injection, XSS y Path Disclosure, los sitios afectados son: rmm.cl eduvic.cl cronica.cl uss.cl (www.uss.cl y enred.uss.cl) Tweet

[Leer Más →]

La semana pasada fue el turno de vulnerabildiades de tipo XSS, esta semana será una lista de sitios con vulnerabilidades RFI, XSS y SQL Injection. Los sitios o empresas afectados son: – Ecored.cl – iti.cl (https) – stiport.cl (https) – Lucylafuenteindo.cl – latitud90.com – Maqval.cl Con “Lucylafuenteindo.cl” intenté comunicarme para solucionar el problema pero luego [...]

[Leer Más →]

Como es de costumbre, cada vez que encuentro alguna vulnerabilidad en sitios web lo primero que hago es intentar comunicarme con los responsables de ese sitio web, si estas personas me contestan entonces los ayudo a solucionar los problemas y, una ves solucionado, genero un reporte sobre las vulnerabilidades y las publico aca, en caso [...]

[Leer Más →]

Estamos en el año 2009 y es increible que existiendo tantas herramientas de auditoría y el peligro/riesgo que existe por el mal tratamiento de la información, los desarrolladores esten cayendo en errores tan básicos. Voy a listar las vulnerabilidades que, según mi experiencia, son las más comunes en los sitios web. File/Path Disclosure: Esta vulnerabilidad [...]

[Leer Más →]