CategoríaSitios Vulnerables

Lista de sitios vulnerables de cada semana

Nueva Vulnerabilidad Cross-Site Scripting (XSS) en Banco Santander

santander-chile-650x400

Desde hace un tiempo que Banco Santander ha expuesto a sus clientes y usuarios a una serie de incidentes de seguridad, como por ejemplo solicitud de claves por parte de los ejecutivos hacia nuevos clientes, vulnerabilidades que permitieron el acceso a parte del código fuente, fallas de seguridad que facilitaban el phishing, etc. Varias de estas vulnerabilidades fueron expuestas en este blog, luego que no se tuviera respuesta por parte del banco, como se puede ver en esta lista de posts.

Actualmente, en el año 2015, Santander demuestra que no ha aprendido nada, desde el punto de vista de la gestión como en el ámbito técnico. Continuan ignorando las alertas de seguridad que se denuncian y por otro lado continuan entregando un servicio que no cumple con un mínimo de seguridad.

Las vulnerabilidades se repiten año tras año, por ejemplo en este caso mostraré un Cross-Site Scripting (XSS) que afecta a la Banca Personas, un problema de seguridad que es facil de detectar, facil de mitigar y facil de explotar.

Seguir leyendo

Como NO se debe mitigar un Cross-Site Scripting (XSS), el ejemplo de ChileAtiende

logo_chileatiende_beta_2xDe acuerdo a su propia descripción, ChileAtiende es una red que busca acercar los servicios del Estado a las personas, entregando un conjunto de trámites de diferentes instituciones públicas, en un solo lugar.

Revisando rapidamente el sitio web, se puede ver que intentaron aplicar algunos controles de seguridad para prevenir ataques, sin embargo, se pueden evadir facilmente. Como ejemplo voy a tomar una inofensiva vulnerabilidad que afecta al buscador del sitio, alojado en buscador.chileatiende.cl.

Seguir leyendo

Vulnerabilidad en Sky Airline permite acceso a Tarjetas de Embarque

Sky_Airline_Logo(Large)

Una falla en el sistema web de Sky Airline permite acceder a una configuración interna del sistema, mediante la cual es posible acceder a información historica y actual de las tarjetas de embarque de los pasajeros. Esta falla expone los datos de vuelo de todos los pasajeros, violando la privacidad e incumpliendo uno de los principios básicos de la seguridad de la información: confidencialidad.

El error se produce por una mala practica muy común al momento de poner en producción un servidor o un sistema, sobre todo en las plataformas .NET y Java.

Seguir leyendo

El fallo de Entel que dejó vulnerables a sus clientes

entellogo

Desde hace algunos meses la empresa de telecomunicaciones Entel presenta un fallo de seguridad que afecta al portal web “Mi Entel”, utilizado por sus clientes para acceder a información de su cuenta, revisión del estado del plan de datos, llamadas realizadas, contratación de nuevos servicios, etc. Para ingresar a la sección de “cliente” es necesario ingresar el número de celular, RUT y la clave de cuatro dígitos, sin embargo, explotando esta vulnerabilidad es posible iniciar sesión solo con el número de celular.

Segun los antecedentes recopilados via twitter, este fallo ya está siendo explotado por atacantes robando puntos zona entel a las víctimas. En esta imagen compartida vía twitter se puede ver un usuario con mas de $300.000.- en saldo y con bolsas de navegación de 7GB

entelpoc

Seguir leyendo

Nuevas vulnerabilidades en NIC Chile

nicq

En el post anterior vimos la rápida reacción del equipo de desarrollo de NIC Chile al corregir una falla que permitía modificar información del perfil de cualquier usuario.

Nuevamente dieron respuesta a dos nuevas vulnerabilidades, de las cuales solo aceptaron y solucionaron una, argumentando que la otra era una funcionalidad que ellos habian implementado.

Las vulnerabilidades detectadas y reportadas permitian marcar como leidos los mensajes o notificaciones que recibia un usuario de manera arbitraria y la otra permite realizar ataques de fuerza bruta para enumerar cuentas de usuario.

Seguir leyendo

Nuevo sitio web de NIC Chile permite modificar información de otros usuarios

NIC Chile lanzó una nueva versión de su sitio web. Entre las mejoras está la opción de crearse una cuenta y administrar desde esa cuenta los dominios que se van registrando.

Luego de un simple y rapido analisis, pude detectar que el sitio web no cumple con los estandares minimos de seguridad, permitiendo a usuarios modificar información de terceros.

Seguir leyendo