Con esta vulnerabilidad es posible robar información sensible y suplantar la identidad del usuario.
Justo en la fecha de la devolución de impuestos aparece esta vulnerabilidad en el login del sistema. Permite redireccionar a un usuario, luego de logearse, a cualquier sitio e incluso permite el robo de cookies mediante ejecución arbitraria de javascript en el cliente.
La URL vulnerable es https://zeus.sii.cl/AUT2000/InicioAutenticacion/IngresoRutClave.html que al agregarle al final "?https://alguna_url", el usuario luego de iniciar sesión será redirigido hacia esa URL. Por ejemplo:
https://zeus.sii.cl/AUT2000/InicioAutenticacion/IngresoRutClave.html?https://www.google.com
Luego de ingresar, seremos redirigidos a Google.
Tambien puede ser un javascript, por ejemplo mostrando las cookies de sesión:
O por ejemplo, usar javascript para dibujar un formulario que haga POST a un sitio remoto, capturando la información:
Abusando de la confianza que tiene el usuario sobre el sitio, con certificado SSL válido. De esta forma es posible obtener información confidencial de los usuarios, de forma transparente.
Nuevamente los sistemas informáticos dejan mucho que desear. Esta vulnerabilidad fue reportada la semana pasada mediante el formulario de contacto (el único medio disponible) pero no se obtuvo respuesta.
http://www.emol.com/videos/?id_emol=%3Ctable%20border=1%3E%3Ctr%3E%3Ctd%3E%3Cinput%20type=text%20%3E%3C/td%3E%3Cbr%3E%3C/tr%3E%3Ctr%3E%3Ctd%3E%3Cinput%20type=submit%3E%3C/td%3E%3C/tr%3E%3C/table%3E
mas arriba publique un XSS en EMOL.com (http://blog.zerial.org/seguridad/cross-site-scripting-en-el-mercurio-on-line-emol/) y fue corregido por ellos de forma bastante rapida, a ver si les reporto esta vuln que me envias