E-Sign (cl) corresponde a los representantes y/o partners de VeriSign, una reconocida marca de seguridad informática a nivel mundial y como tal, ofrecen servicios de seguridad informatica, certificados de seguridad, auditorias, etc.
La empresa E-Sign ofrece el servicio de Anti Phishing y Consultoría de Seguridad, entre otros. Sin embargo, el sitio web de dicha empresa es vulnerable a Cross-Site Scripting y mediante esto, podemos hacer phishing usando la "credibilidad" de su certificado SSL.
La idea de un sitio con certificado SSL es que toda la información viaje cifrada, pero la gente de E-Sign al parecer no piensan eso. Al menos dos formularios del sitio envían la información sin cifrar, entonces ¿Para qué usan el certificado SSL?
Quizá no es tan crítico, ya que se trata del formulario de contacto y el buscador, pero ya que ellos obligan al usuario a confiar de ellos aun cuando los formularios no se envian de forma segura, nosotros aprovecharemos de generar otro tipo de trafico de manera insegura, por ejemplo insertando un formulario falso o un sitio externo mediante XSS.
¿A qué me refiero con esto? Sencillo, cuando estás navegando en un sitio seguro y en él, existe información que viaja de manera no-segura (sin cifrar), el navegador nos alerta y nos pregunta si queremos continuar.
En cierta forma, E-Sign está obligando al usuario a confiar en ellos y para proceder, el usuario tendrá que poner aceptar. Si ellos lo hacen, ¿por qué nosotros no?
Nos aprovechamos de una vulnerabilidad XSS que presentan algunos links, por ejemplo link de "Contacto":
https://www.e-sign.cl/contacto.php?prefilla=%22%3E%3Cscript%3Ealert%28%27xss%27%29%3C/script%3E
Mediante XSS podriamos perfectamente modificar el formulario, agregar y quitar campos y redireccionar la informción hacia otro sitio o bien colocar un iframe externo que nos permita insertar un formulario arbitrario para capturar información que necesitamos.
Con un poco de ingenieria social y un poco del arte del engaño, seguramente podemos explotar aun mas esta vulnerabilidad. Muchas veces la vulnerabilidad va más alla de si misma, depende mucho del sitio sobre el cual se intenta explotar, en este caso, es mucho mas grave que en el caso del post anterior.
Lo que encuentro más problematico, es que una empresa de seguridad, quienes ofrecen un servicio Anti Phishing, tengan este tipo de vulnerabilidades, le resta demasiada credibilidad a la empresa, lamentablemente las personas que contratan estos servicios generalmente no saben mucho del tema y creen que estaran en buenas manos y muchas veces estan cometiendo un error entregando su seguridad a las personas equivocadas.
Como de costumbre, intenté contactarme con los encargados mediante el formulario de contacto del sitio pero no he obtenido ningun tipo de respuesta.
ACTUALIZACIóN - 3/Mayo/2010: La empresa se ha contactado conmigo via email. Más información acá.
Esto me ayudará a ser mas cuidadoso donde me meto.
y algunos banners los hice yo cuando aprendia a usar inkscape y otros.
xD!
Edit: www.google.cl no tiene SSL wtf!
saludos!
Para mí que han de manejar las cosas de otra manera y son capaces de identificar el xss sin necesidad de hacerlo de manera evidente.
como aclaracion a lo que comentas, se trata de "E-Sign" que es una empresa chilena (creo) que es partner de VeriSign, no se trata de VeriSign en sí.
saludos!
Lamentablemente si tuviera que elegir a uno creo que no elegiria a ninguno.