El rincón de Zerial

Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio

Mostrar menú Ocultar menú

Directory Listing en Corpbanca.cl

noviembre 25, 2011 /
Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "Directory Listing en Corpbanca.cl" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.

El Listado de Directorios en si no es una vulnerabilidad o fallo crítico, todo depende de que tipo de información nos divulgue.

El servidor del Banco Corpbanca permite listar directorios entregando información sensible sobre los archivos del sistema, por ejemplo permite acceder a archivos como “ComprobanteCargoAbono_Personas.aspx.20081217“, un respaldo del año 2008 del archivo ComprobanteCargoAbono_Personas.aspx que, antes que  limitaran el acceso, era posible ver el código fuente de ese y de otros archivos.

En el caso de un banco es peligroso porque permite al atacante conocer de mejor forma el sistema accediendo a toda la estructura de directorios y archivos. Tambien nos damos cuenta que hay scripts de “prueba” que nos pueden entregar información sensible

Este problema en la configuración de los servidores de Corpbanca ya ha sido reportado y se está solucionando.

Despues de haber dado la presentación de Secureless en la CSC 8.8, se me acercó el encargado de la seguridad de Corpbanca, entregandome su contacto y agradeciendo cualquier reporte que pudiese enviarle, hasta ahora he tenido la amabilidad de estar reportandole algunas fallas y el por su lado gestiona que se solucionen.

Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "Directory Listing en Corpbanca.cl" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.

Categorías: Hacking, Seguridad

Etiquetas: , , , , , ,

« 8.8: Computer Security Conference Chile Secureless: Estadisticas de sitios web vulnerables »

4 comentarios

  1. RoyalGNZ

    noviembre 25, 2011 a las 10:45 am

    Buen trabajo! una vez mas haz demostrado tu poder ético, sos un modelo a seguir 🙂

  2. Eddy TI

    noviembre 25, 2011 a las 11:43 am

    Buen trabajo, te admiro, sos un verdadero white hat, esperemos asi sigas ayudando a las personas.

  3. Anónimo

    diciembre 2, 2011 a las 3:00 pm

    Genial información pero ¿Cómo podemos evitar esta falla de seguridad en nuestros servidores http?

  4. Zerial

    diciembre 2, 2011 a las 3:04 pm

    Hola “Anonimo”, es sencillo: Basta con denegar el listado de directorios, dependiendo del servicio http que estes usando.

2 Pingbacks

  1. Pingback: Chile: Vergonzosa falla de seguridad en el sitio de Santander - FayerWayer
  2. Pingback: Chile: Vergonzosa falla de seguridad en el sitio de Santander

Los comentarios están cerrados.

© 2024 El rincón de Zerial

Tema por Anders NorénSubir ↑