Hace un par de dias apareció en las noticias que habían desarticulado a un grupo de personas que se dedicaban a traficar extasis desde Argentina, debido a esto apareció Patricio Rojas hablando en la televisión donde dijo, literalmente, lo siguiente:
no existe chat, no existe messenger, no existe mensaje de texto, ni llamada de telefono celular que no pueda ser intervenido
El otro día, en mis momentos de ocio, se me ocurrio buscar una forma de cifrar el historial de comandos que guarda bash. Hay servidores que sólo tenemos -o hemos ganado- acceso como usuarios, y no nos gusta que el administrador (root) vea lo que hacemos o los comandos que hemos ejecutado. Existen varias formas de ir contra eso, por ejemplo eliminar el bash_history o bien editarlo cada vez que hacemos algo que no queremos que sepan. Esta forma es un poco mas rebuscada y busca cifrar mediante GPG el historial, de manera tal que el root no podrá leer lo que dice el archivo.
La logica es bastante simple:
Para lograrlo vamos a necesitar tener una clave gpg y configurar el comportamiento del login y logout con unos scripts que les mostraré a continuación.
FeriaTicket se dedica a la venta de tickets/entradas de eventos de todo tipo y FeriaMix vende libros y música, mediante el registro de usuario es posible realizar compras en línea en ambas tiendas. Ambos sitios web, pertenecientes a la misma empresa, están desarrollados por la misma empresa usando el mismo sistema web (framework, cms o como quieran llamarlo) y así mismo, comparten los mismos bugs y vulnerabilidades.
La vulnerabilidad en común corresponde a una del tipo Cross-Site Scripting (XSS) al no validar los parametros de la URL, permitiendo la inyección de código html o javascript arbitrario.
Especificamente, se encuentra en el script wspd_cgi.sh al no validar el valor que se le entrega a la variable wspd_cgi.sh.
wspd_cgi.sh/WService=<código malicioso>
No está demas decir que la vulnerabilidad permite redireccionar a un sitio distinto al de FeriaTicket o FeriaMix, pudiendo robar las cookies y suplantar la identidad de los clientes, accediendo a información privada. A pesar de lo que la empresa declara en su página relacionada con la privacidad y la seguridad:
Compromiso con la Seguridad
En relación a nuestro sitio web (www.feriamix.cl), Empresas Feria hace esta declaración de seguridad y privacidad en orden a demostrar y comunicar su compromiso con una práctica de negocios de alto nivel ético y dotada de los controles internos apropiados.Protección de Datos
Nuestro sitio está protegido con una amplia variedad de medidas de seguridad, tales como procedimientos de control de cambios, passwords y controles de acceso físico. También empleamos otros mecanismos para asegurar que los datos que nos proporcionas no sean extraviados, mal utilizados o modificados inapropiadamente. Esos controles incluyen políticas de confidencialidad y respaldo periódico de bases de datos.
Puedo asegurar que no están cumpliendo con lo que dicen.
Hasta los más grandes tienen sus errores y vulnerabilidades más estúpidas. Ahora es el turno de Google, aunque ya corrigieron el problema, me gustaria darlo a conocer.
El problema lo corrigieron (parcialmente) casi 30 minutos luego de haberlo reportado, sin embargo, la gente del Google Security Team, me comentaron que ya lo habían reportado. Sin embargo, lo habían corregido parcialmente, ya que aún existían sitios que tenian el problema. Por ejemplo, corrigieron el problema en docs.google.com, www.google.com y en mail.google.com, pero en labs.google.com, code.google.com y otros seguía existiendo. Cuando me dijeron que ya lo habían corregido, les reporté que la vulnerabilidad continuaba en algunos sitios, y luego de esto lo corrigieron.
Hasta la fecha, al parecer ya están todos los subdominios corregidos.
Luego de intentar comunicarme por varias formas con algun encargado del sitio o algun responsable, y obteniendo respuestas negativas o en algunos casos sin respuestas, haré publica la vulnerabilidad que afecta al sistema de Banca de Personas del Banco Santander, fallo que tambien podría afectar a la Banca Empresas.
Quizá no es una vulnerabilidad tan critica ni tampoco significa el fin del mundo, pero creo que alguien con los suficientes conocimientos podría aprovecharse y explotarla. Coresponde a una típica y tonta vulnerabilidad XSS que permite, para variar, inyección de código javascript que nos permitirá el robo de credenciales o bien redireccionar la información del usuario a algun sitio maligno, usando la confianza del servidor seguro de Santander.
El bug se encuentra en el script ASP que muestra los errores del sitio
https://www.santander.cl/transa/errores/PagError.asp?titerror=0&codigo=Visualizaci%F3n%20de%20Imagenes&url=&msgerror=
Esta vulnerabilidad se limita a que el usuario debe tener iniciada la sesión.
Prueba de concepto (PoC)
La URL para explotar esta vulnerabilidad es la siguiente:
https://www.santander.cl/transa/errores/PagError.asp?titerror=0&codigo=Visualizaci%F3n%20de%20Imagenes&url=&msgerror=%3Cb%3EaaaLamentablemente%20la%20imagen%20del%20documento%20que%20eligi%F3%20no%20se%20encuen%3Cscript%3Ealert%28document.cookie%29%3C/script%3Etra%20en%20nuestras%20bases%20de%20datos%3Cbr%3E%3Cbr%3EAgradecemos%20su%20comprensi%F3n.%3C!--%20Ver%20Boleta%20ERROR%20DEFINIDO:%20[10:No%20se%20Encontraron%20registros%20para%20la%20b%FAsqueda%20realizada]--%3E&boton=CL&tema=Obtenci%F3n%20de%20Imagen
Especificamente, la Municipalidad de la Granja poco se preocupa de la privacidad y de datos personales de la gente. En este caso que les mostraré, aparecerá información personal de varias personas, quizá no es algo tan critico ya que no se revelan datos tales como contraseñas, direccion, etc, pero si nombres de personas asociados a otros tipos de datos personales que no deberían estar dando vueltas por internet a la vista de todos.
Esta municipalidad convocó a postular a una beca y posteriormente publicó los datos personales de todos los que la ganaron.
Esta es la URL con la que podemos acceder al PDF donde aparece la lista de seleccionados:
Cada vez es menos la preocupación de la protección de datos de las personas, así jamás podremos confiar en quien tiene algo de información de nosotros.
© 2024 El rincón de Zerial
Tema por Anders Norén — Subir ↑
Comentarios recientes