Banco Central de Chile vulnerable a XSS

El sitio web del Banco Central de Chile es vulnerable a ataques Cross-Site Scripting y, posiblemente, un SQL Injection. Son muchos los sitios de bancos que son vulnerables a este tipo de ataques, pero muy pocos quienes solucionan los errores luego de reportarlos, es por eso que se toma la decisión de hacer un disclosure sobre las vulnerabilidades para denunciar este tipo de hechos.

El sitio web del Banco Central pareciera no tener ningun tipo de validación de los parametros de entrada que se pasan mediante formularios o mediante URL, exponiendo a los usuarios  y al servidor a distintos tipos de ataques.
El XSS que encontré, está en el archvo rim/default.asp en el subdominio si2.bcentral.cl.

Como prueba de concepto, incrustaré un ‘iframe’ con el sitio web de Google dentro del sitio del Banco Central

Perfectamente, el atacante podría incrustar un sitio malicioso con la intención de robar la identidad del banco y aprovecharse de la confianza que el usuario tiene sobre el sitio web, incluso usando el sitio “seguro“.

Tambien el atacante podria, mediante esta vulnerabilidad, modificar el formulario de inicio de sesión que aparece en la imagen, para robar los datos de los usuarios y enviar la información a terceros.

La vulnerabilidad SQL Injection se presentaba en los formularios que estaban en la sección “Base de datos economicos”, que al parecer ya ha sido corregido.

Hace 7 días aproximadamente reporté la vulnerabilidad y como es de costumbre no otbuve ninguna respuesta, pero misteriosamente estan trabajando en estos momentos en corregir el sql injection.

5 comentarios

  1. estos weones no les interesa nada 🙁 sólo lucrar. y ustedes teniendo que proteger a la ciudadanía. esto ya es intolerable. todos a marchaR!

  2. Una marcha por la seguridad de la información! xD. Le pillamos un BUG al “Guanaco” y lo owneamos… Gracias Zerial…

  3. Es increible en nivel de inseguridad que aveces se encuentran en algunos sitios, si fuera un sitio particular quizas no seria tan importante, pero incluso ayer pille sqli + xss en .gob.cl , que preocupante, como alguna vez comente deberia haber una sancion para aquellas empresas que prestan servicios y programan websites, que atentan contra la seguridad se sus usuarios .

  4. Interezante post
    Yo recuerdo tener una SQLI del banco
    nunca encontre el panel de administracion xD..!

    Si la encuentro en mis DVD’S
    te aviso ^^

    Salud[OS]..!

  5. This blog was… how do I say it? Relevant!! Finally I’ve found something which helped me.
    Thanks!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.