Servipag: Nuevamente vulnerable a Cross-Site Scripting

Así es, el portal chileno de pagos en línea más seguro nuevamente es vulnerable a XSS. Esta vez se trata de la página de registro de usuarios, modificando el valor de la variable “Rut” es posible inyectar código javascript y poner en riesgo al usuario.

El sitio web de Servipag se ha caracterizado ultimamente por tener una serie de vulnerabilidades criticas que afectan al servidor donde se encuentra el sitio web y tambien a los usuarios, poniendo en riesgo información sensible sobre sus clientes. Según una declaración de Servipag mediante su twitter, los “XSS visual” no afectan al usuario:

Como a ellos no les preocupan los XSS, publicaré con detalles la vulnerabilidad.

La vulnerabilidad se encuentra especificamente en la URL https://www.servipag.com/browse.asp?pagina=web/registro1.htm. El sitio autocompleta el campo “rut” según el valor pasado por GET mediante la variable “Rut”, por ejemplo, si ingresamos a https://www.servipag.com/browse.asp?pagina=web/registro1.htm&Rut=1313&BuscaDatos=2 veremos que nos completa el rut de la siguiente forma

Y si vemos el código fuente, nos muestra:

Por lo tanto, si en lugar de “Rut=1313” pusieramos una rutina javascript, debería ejecutarse al momento de llamar a la función “Reset()”, sin embargo, el desarrollador de servipag puso un estúpido inutil filtro que es demasiado fácil saltarse. Lo que haremos es terminar la función y hacer que se ejecute el código que nosotros queramos al momento de cargar la página, para esto añadimos ‘; al principio del valor que le daremos a Rut y comentaremos todo lo que venga despues de nuestra inyección, para lograr que se ejecute sin errores el javascript.

La sintáxis que usaremos para explotar la vulnerabilidad será 1212′;}/**/window.stop();confirm(/Servipag_XSS_10_de_Septiembre_19:24?/);/* la cual nos generará un código fuente similar a:

Provocando el XSS que estabamos buscando. De esta forma es posible burlar los filtros puestos por los desarrolladores del portal de pagos más seguro (ironía), pudiendo redireccionar al usuario a un sitio malicioso, robar las cookies, etc.

Finalmente, la URL vulnerable es https://www.servipag.com/browse.asp?pagina=web/registro1.htm&Rut=1212′;}/**/window.stop();confirm(/Servipag_XSS?/);/*=’&BuscaDatos=2.

ACTUALIZADO (12 DE SEPT 14:08hrs)

Como es de costumbre con esta gente de Servipag, el problema ha sido solucionado minutos luego de haberlo publicado, sin embargo, no son capaces de responder los correos donde se envian reportes de estas vulnerabilidades.

20 comentarios

  1. Se nota que servipag no sabe lo que dice 😛

  2. Ese es el problema de las tecnologías de scriplet. Parecen ser sencillas pero uno debe tener más idea de la que se dice en los sitios, debido a que muchos desarrolladores impertinentes no llevan a cabo bien las separaciones de lo elemental (lógica de negocios, presentación y dinámica).

    Otra es que además las cosas no deben ocurrir sin ser validadas en el servidor (que es la única manera de evitar SQL-Injection y comportamientos extraños que es posible provocar con XSS).

  3. “Aspecto Visual”??? ajaja, es un XSS con todas sus letras, y un portal de pago no puede tener eso…

  4. Que bueno que existan personas como tu que nos ayudan desde su egolatría y megalomanía a no caer en las trampas de los malvados.

    NO CREO EN TU CRUZADA.
    Para mi eres un fantoche que sólo busca figurar destruyendo el trabajo de otros.

    Valiente Robin Hood!!! 😛

  5. Marcelo… un fantoche que destruye el trabajo de otros?, si no fuese así un hacker con malas intenciones se haria millonario robando la información de estos sitios, sin embargo, el detecta y reporta el error para la previa solución de la empresa.

    No destruye trata de arreglarlo

  6. apuesto que el tal Marcelo, es un empleado de servipag que lo putearon por dejar ese hoyo abierto en la programcion, y se tuvo que pasar varias horas arreglando la cagada de XSS.

    Los Aportes de zerial en realidad son eso, aportes para que los sitios chilenos en realidad sean mejores y despues no vengan Peruanos hackers wanna be y dejen en ridiculo nuestros sitios nacionales.

  7. ZERIAL, y qué pasa con sitios de pagos tales como MISCUENTAS.COM, CMR, PRESTO, y TECNOPAGO? o trabajas para ellos?

  8. ZERIAL,

    He analizado con mucha seriedad tus post, desde sus inicios, y puedo concluir que tu análisis es muy irresponsable. Pero, lo es más el periodista de LUN que te ha dado tribuna.
    En primer lugar, Servipag es un Web Site neutro pues las Operaciones de Pago EN LINEA son efectuadas y autenticadas por los sistemas bancarios, que cumplen altos estandares de seguridad. En segundo lugar, Sencillito no es un portal de pagos EN LINEA, por lo cual queda descartado cualquier tipo de análisis sobre este servicio. Respecto a Miscuentas, este si es un portal de pago, pero sus estandares de seguridad son regidos por la banca, sin embargo sus transacciones son ACH, es decir AUTOMATED CLEARIN HOUSE, regidos por CCA, o sea PAGOS BATCH, con el consiguiente problema que significa administrar mandatos. Esta empresa mantiene sus claves cifradas porque hace 2 años sufrió el robo de su base de datos completo, y en un análisis de seguridad vía SSL la empresa Servipag ocupa el mismo estandar, aunque no está obligada a realizarlo. Si tuvieramos que hacer un análisis de seguridad, sólo una empresa es la insegura y no precisamente Servipag.

  9. Adicional a lo anterior, te comento que en el año 2008, empresas como CMR, Unimarc, Presto, y Lider, que utilizaban como plataforma a Miscuentas, tuvieron que cambiar de proveedores, por las mismas razones de seguridad que te comentabamos antes. Sin embargo, Servipag sigue siendo la empresa que ofrece el servicio de pago de cuentas a toda la Banca, incluyendo a BancoEstado.

  10. Marcelo: No se si es una ironia lo que dices o es verdad, porque primero dices una cosa y luego otra.

    M4uRo: Exactamente, no busco destruir el trabajo de otros, unicamente dar a conocer las irresponsabilidades

    Zeroram: exacto! 😛

    AnDIno: Leiste mi primer post? El primer analisis a la seguridad? Me hablas de altos estandares de seguridad. Cuales son esos?
    Cuales son los altos estandares de seguridad que te permiten guardar passwords sin cifrar? Cuales son los altos estandares de seguridad al tener un sitio web con por lo menos 15 XSS ? Cuales son los estandares de seguridad de un sitio web que permite ver archivos de sistema?
    Cual es el alto estandar de seguridad que no define procesos ante incidencias?

    La verdad, suena muy lindo todo lo que dices, pero todos sabemos que es mentira. Eso que dices de las transacciones, de los bancos, de los estantares, etc. Te invito a leer otros post que tengo en este blog sobre los bancos, donde te daras cuenta que no cumplen con esos estandares, ya que son cosas BASICAS las que no cumplen.

    En servipag existia un LFI, con el cual un atacante podria haber robado el certificado SSL de servipag y ponerse a estafar a usuarios con sitios falsos haciendolos pasar como sitios certificados. AnDIno, de verdad te invito a involucrarte un poco mas en el tema y revisar otros sitios en internet, donde podras ver realmente cuan vulnerable son estos sistemas supuestamente “seguros”

  11. OK, pero no debes atacar un unico Web de Pagos, ni menos compararlos, pues no lo son. Es importante la semantica y en Chile sólo un sitio no banco existe, el resto de los otros sitios no procesan PAGOS EN LINEA o vía WEB.
    Finalmente, es la Banca Chilena la que procesa los pagos. Tu análisis es básico, centrandose en herramientas ya obsoletas, y sin ningun ánimo de ofenderte, debes ilustrarte un poco más antes de dar la entrevista que diste, pero esa no es tu responsabilidad, pues siendo un poco desconfianzado la unica empresa que hace publicidad en LUN es Miscuentas, y no es la mas segura.
    Saludos.

  12. AnDIno: Basico? Claro, para que te des cuenta que estos sitios no cumplen ni si quiera en lo mas BASICO.

    Herramientas ya obsoletas? Que herramientas usé? Analice tecnicas de “desarrollo seguro”, de las mas basicas, como te dije mas arriba, que ni si quiera eso lo cumplen. No entiendes el mensaje?

    No tienes idea de lo que estas diciendo, que importa que la banca procese los pagos? No entiendes los alcances de las vulnerabilidades, quizas en tu curso de seguridad no te lo enseñaron. Teniendo control del servidor (mediante lfi, source code disclosure y otras vulnerabilidades) puedes hacer lo que quieras con el portal, puedes hacer que cuando el usuario pinche “pagar” no se vaya al sitio real del banco, sino a uno falso. Entiendes ahora?

    Por si no te queda claro, se podia acceder directamente a los comprobantes de pagos, sin rut, sin login, sin sesiones, sin token, sin nada. Con eso ya tienes informacion sobre el usuario, luego le envias un sitio web falso, usando el dominio seguro (HTTPS) de Servipag, aprovechandote de un XSS y haces caer al usuario para que te entregue sus datos, lo convences llamandolo por su nombre, entregandole informacion valida sobre el (que obtuviste en el comprobante de pago) …

    Pareces promotor de Servipag

  13. Zerial: Yo tmb creo q es promotor de Servipag!!! jaja
    No encuentro destruccion en lo que haces!!!
    Yo uso Servipag!! pero no te voy a criticar por alertar a los atareados srs de informatica de Servipag, sigue asi!! fuerza!! Saludos!!

  14. Desde mi más absoluta ignorancia, te debo decir que me dejaste con tiritones. Y pensar que yo pago todo usando Servipag. Encuentro muy bueno que comentes la falta de seguridad de los sitios chilenos, lo que es ya sabido, pero muy poco comentado. Felicitaciones.

  15. Me gusta el trabajo de quienes pasan inadvertidos… tantan farandula, no gracias. Difunde pero no des tribuna a tonteras, menos publicaciones amarillistas.

  16. por eso, a la antigüita no mas XD, pasar platita mano a mano… y comprobante en el bolsillo, sin nada de net que maneje mis lukas…

    sos un winner caurito, jakajak

  17. Felicitaciones compadre!
    Acabo de llegar a tu página gracias a ese”supuesto diario” LUN xD.
    Yo uso Servipag para pagar algunas cuentas, y estos errores son super graves, aunque a mi parecer, es que Servipag no le de importancia a los errores que tu encuentras.
    Gran trabajo el que haces, espero nunca te “corrompas” y te fuiste directo a mi lector de RSS.
    Saludos

  18. No pensé que iba a aparecer tanto empleado de servipag reclamando, creo que en vez de eso deberían dedicarse a hacer bien su trabajo.

    Quizás otro tipo encuentre algún fallo en el portal de pagos más inSEGURO y lo destroce sin previo aviso.

  19. hola , me parece gracioso y risorio como se pelean por ver quien tiene la razon o no , en el caso de pago en los servipag , ja ja ja y a la vez lo encuentro estupido , ya que en chilito ( los jaguares de america , un pais en desarroyo) pero hay un pequeño remeson de suelo y se va todo a la mierda , cago el sistema internet , fuera comunicaciones telefonicas , adios bencineras , chao hospitales con sistemas de ventilacion mecanica a enfermos . ja ja ja y uds. peleando por un sistema para idiotas y flojos , si tienes una deuda anda y pagala en persona ,mirale la cara a la probre cajera que esta con su empenada doblada todo un dia sentada . ahhh y cuando estas en la fila de cualquier entida publica mas de una hora en espera uuuufff se cayo el sistema sorry ja ja ja . y que hace la gente reclama ??? a quien ???? y me hablan de tecnologia de avanzada ja ja ja ja

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.