El rincón de Zerial

La semana pasada he descubierto una vulnerabilidad Cross-Site Scripting (XSS) en el sitio web de RedBanc.
Redbanc S.A.. es una empresa que presta servicios de interconexión bancaria, es decir permite a los clientes de todos los bancos asociados realizar distintas operaciones, depósitos, transferencias, giros, etc. a través de una red cajeros automáticos, que son computadores [...]

[Leer Más →]

Para complementar un poco lo que publicó d3m4s1@d0v1v0 en ITFreekZone sobre el Reflected XSS mediante SQL Injection, me gustaría demostrarles otra manera de realizar Cross-Site Scripting aprovechandose de una vulnerabilidad de inyección SQL.
La teoría es muy sencilla, basta con que encontremos un sitio vulnerable a inyección SQL, no importa que tenga protecciónes contra comillas simples [...]

[Leer Más →]

Los ataques XSS son cada día más frecuentes, pareciera ser que al desarrollador no le interesa o por desconocimiento no sabe a lo que se está exponiendo, pero por otro lado, los desarrolladores de los navegadores si están concientes y desarrollan técnicas anti XSS. La forma más común de realizar un ataque XSS es insertando [...]

[Leer Más →]

Usaré de ejemplo un sitio que ya he usado en alguno de mis post, cuando hice los tests a las empresas de hosting. Mostraré cómo explotar una vulnerabilidad del tipo XSS para hacer phishing, capturar datos de acceso de usuarios para ganar acceso a un sistema, ftp , email, etc.
La empresa afectada es una inmobiliaria [...]

[Leer Más →]

En los artículos que he escrito relacionado a vulnerabilidades webs más comunes siempre aparece el legendario Cross-Site Scripting o XSS. Una vulnerabilidad tan fácil de corregir y a la véz tan común, puede ser muy peligrosa ya que nos permite cruzar la información a través del sitio para luego poder manipularla, por ejemplo el robo [...]

[Leer Más →]

Esta es mi tercer objetivo, la empresa Golden Data. Hace un tiempo escribí cosas relacionadas a esta empresa donde mostraba una serie de vulnerabilidades del tipo XSS y Full Path/File disclosure, entre otras.

En ese momento, me comuniqué con los encargados e intercambiamos 4 o 5 correos. Les comuniqué que tanto su sitio como sitios de [...]

[Leer Más →]

Ya llevo un mes publicando sitios vulnerables todas las semanas, he publicado mas de 20 sitios con distintas vulnerabilidades, esta semana será la última ya que me he involucrado, junto a otras personas, en un proyecto un poco más ambicioso en el que haré una publicación más masiva involucrando muchos más sitios de mayor importancia.
Esta [...]

[Leer Más →]

El phishing es una de las técnicas de robo de identidad e información más fácil de explotar, no porque el hacerlo sea sencillo, sino por las empresas y la gente que no se preocupa de proteger su información. Si bien esta técnica muchas veces requiere de ingenieria social (más aún cuando es un ataque dirigido), [...]

[Leer Más →]

Para seguir con la tradición, acá están los 5 sitios vulnerables de la semana.
Tres de ellos con vulnerabilidades XSS y uno con SQL Injection, el quinto tiene ambas. Generando un error mediante inyeccion de codigo mysql es posible explotar la vulnerabilidad XSS.

Corresponden a las vulnerabildiades SQL Injection y XSS y los sitios son los siguientes:

sirpachile.cl
tardis.cl
paihuen.cl
dibam.cl
balmacedartejoven.cl

Compartir/Guardar

[Leer Más →]