Nuevo sitio web de NIC Chile permite modificar información de otros usuarios

NIC Chile lanzó una nueva versión de su sitio web. Entre las mejoras está la opción de crearse una cuenta y administrar desde esa cuenta los dominios que se van registrando.

Luego de un simple y rapido analisis, pude detectar que el sitio web no cumple con los estandares minimos de seguridad, permitiendo a usuarios modificar información de terceros.

La vulnerabilidad afecta a la sección “Editar perfil” que permite modificar información de la cuenta como la actividad, correo alternativo, nombre de la persona, etc. Explotar esta vulnerabilidad es tan sencillo como modificar el parametro “id” correspondiente al usuario.

Como en cualquier sistema web, cuando un usuario se registra se le asigna un ID, por ejemplo 500, por lo tanto, cuando otro usuario se registra le asigna el siguiente valor disponible: 501. Gracias a este fallo, el usuario ID=500 puede modificar los datos del usuario ID=501. Es cosa de ir jugando con el ID y modificar los datos de cualquier usuario.

En la sección para editar el perfil, existe un formulario que contiene campos ocultos

El campo oculto se llama “id” y en este ejemplo, tiene el valor 448. Si antes de enviar el formulario modificamos el valor de este ID por cualquier otro ID valido, el sistema modificara los datos del usuario que tenga ese ID asignado.

Cuando se renueva un sitio y se lanza una nueva version con grandes mejoras, es necesario contar con auditorias y analisis de seguridad que permitan detectar este tipo de fallos. Es un error muy basico y muy facil de solucionar.

En otros aspectos, este nuevo sitio de NIC Chile es bastante seguro, por ejemplo al utilizar Tokens para prevenir CSRF, validación de sesión y privilegios al intentar ingresar a información de dominios que pertenecen a otra cuenta de usuarios, etc.

Este bug fue reportado y corregido. Actualmente, al intentar modificar la información de un perfil ajeno aparece el mensaje Ud. no tiene permisos para realizar esta acción.

4 comentarios

  1. Oops i did it again!!!

  2. Por lo menos acogieron el reclamo y lo parcharon rápidamente. No como otros sitios que no parchan las vulnerabilidades que les avisan, y si las explotan, te tratan hasta de violador -.-

  3. Estimado,

    Qué soluciones existen para este tipo de poblemas? Imagino que el Id debe estar almacenado en una variable de sesion y no pasarse desde un fomulario.

  4. Pablo,

    Mostrar el ID por sesion o en un formulario da lo mismo, el problema aca es que al modificarlo el sistema no valida que el ID que estas modificando corresponde al que inicio sesion, por lo tanto un usuario puede modificar cualquier ID

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.