El rincón de Zerial

Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio

Grave vulnerabilidad del tipo Cross-Site Scripting en sitio web de RedBanc

Febrero 25th, 2010 · 11 Comentarios

La semana pasada he descubierto una vulnerabilidad Cross-Site Scripting (XSS) en el sitio web de RedBanc.
Redbanc S.A.. es una empresa que presta servicios de interconexión bancaria, es decir permite a los clientes de todos los bancos asociados realizar distintas operaciones, depósitos, transferencias, giros, etc. a través de una red cajeros automáticos, que son computadores [...]

[Leer Más →]

Etiquetas: Hacking · Seguridad · Sitios Vulnerables

Explotar XSS mediante SQL Injection

Enero 30th, 2010 · 1 Comentario

Para complementar un poco lo que publicó d3m4s1@d0v1v0 en ITFreekZone sobre el Reflected XSS mediante SQL Injection, me gustaría demostrarles otra manera de realizar Cross-Site Scripting aprovechandose de una vulnerabilidad de inyección SQL.
La teoría es muy sencilla, basta con que encontremos un sitio vulnerable a inyección SQL, no importa que tenga protecciónes contra comillas simples [...]

[Leer Más →]

Etiquetas: Hacking · Seguridad · Sitios Vulnerables

El futuro de los ataques Cross-Site Scripting (XSS)

Enero 30th, 2010 · 2 Comentarios

Los ataques XSS son cada día más frecuentes, pareciera ser que al desarrollador no le interesa o por desconocimiento no sabe a lo que se está exponiendo, pero por otro lado, los desarrolladores de los navegadores si están concientes y desarrollan técnicas anti XSS. La forma más común de realizar un ataque XSS es insertando [...]

[Leer Más →]

Etiquetas: Hacking · Seguridad

Haciendo phishing explotando una vulnerabilidad XSS

Diciembre 23rd, 2009 · 4 Comentarios

Usaré de ejemplo un sitio que ya he usado en alguno de mis post, cuando hice los tests a las empresas de hosting. Mostraré cómo explotar una vulnerabilidad del tipo XSS para hacer phishing, capturar datos de acceso de usuarios para ganar acceso a un sistema, ftp , email, etc.
La empresa afectada es una inmobiliaria [...]

[Leer Más →]

Etiquetas: Hacking · Seguridad

Cruzando la información en un sitio web vulnerable

Diciembre 5th, 2009 · 1 Comentario

En los artículos que he escrito relacionado a vulnerabilidades webs más comunes siempre aparece el legendario Cross-Site Scripting o XSS. Una vulnerabilidad tan fácil de corregir y a la véz tan común, puede ser muy peligrosa ya que nos permite cruzar la información a través del sitio para luego poder manipularla, por ejemplo el robo [...]

[Leer Más →]

Etiquetas: Documentacion · Hacking · Seguridad

Empresas de hosting y diseño web al descubierto: GoldenData

Septiembre 22nd, 2009 · 4 Comentarios

Esta es mi tercer objetivo, la empresa Golden Data. Hace un tiempo escribí cosas relacionadas a esta empresa donde mostraba una serie de vulnerabilidades del tipo XSS y Full Path/File disclosure, entre otras.

En ese momento, me comuniqué con los encargados e intercambiamos 4 o 5 correos. Les comuniqué que tanto su sitio como sitios de [...]

[Leer Más →]

Etiquetas: Hacking · Interes general · Seguridad · Sitios Vulnerables

Sitios vulnerables de la semana

Agosto 2nd, 2009 · 1 Comentario

Ya llevo un mes publicando sitios vulnerables todas las semanas, he publicado mas de 20 sitios con distintas vulnerabilidades, esta semana será la última ya que me he involucrado, junto a otras personas, en un proyecto un poco más ambicioso en el que haré una publicación más masiva involucrando muchos más sitios de mayor importancia.
Esta [...]

[Leer Más →]

Etiquetas: Seguridad · Sitios Vulnerables

El phishing y la poca preocupación para combatirlo

Julio 29th, 2009 · 2 Comentarios

El phishing es una de las técnicas de robo de identidad e información más fácil de explotar, no porque el hacerlo sea sencillo, sino por las empresas y la gente que no se preocupa de proteger su información. Si bien esta técnica muchas veces requiere de ingenieria social (más aún cuando es un ataque dirigido), [...]

[Leer Más →]

Etiquetas: Documentacion · Hacking · Interes general · Seguridad

5 sitios vulnerables de la semana

Julio 25th, 2009 · 1 Comentario

Para seguir con la tradición, acá están los 5 sitios vulnerables de la semana.
Tres de ellos con vulnerabilidades XSS y uno con SQL Injection, el quinto tiene ambas. Generando un error mediante inyeccion de codigo mysql es posible explotar la vulnerabilidad XSS.

Corresponden a las vulnerabildiades SQL Injection y XSS y los sitios son los siguientes:

sirpachile.cl
tardis.cl
paihuen.cl
dibam.cl
balmacedartejoven.cl

Compartir/Guardar

[Leer Más →]

Etiquetas: Hacking · Seguridad · Sitios Vulnerables