Continuando con la recopilación de sitios web del gobierno "hackeados", en esta oportunidad les presentaré un deface mediante una vulnerabilidad Cross-Site Scripting (o HTML Injection). Si bien esta técnica no modifica los datos por el lado del servidor, podría significar un riesgo para quienes visitan el sitio.
El día 8 de julio revisando el listado de sitios intervenidos, apareció la intranet de Superintendencia de Insolvencia y Reemprendimiento (SUPERIR). Yo se que se preguntarán ¿intranet expuesta a internet? pero no es el foco ...
Explotando una vulnerabilidad que permitía inyectar código HTML/Javascript mediante la URL, alguien se puso creativo y modificó la apariencia del sitio dejando un flag del tipo "hacked by".
Como se puede ver en la imagen, el problema estaba en /intranet/inicio_session.php y permitia incrustar código para que sea interpretado por el navegador mediante la variable "login". El payload utilizado fue:
PRE0
Lo interesante es que si se revisa el código fuente del sitio, aparece un error SQL, lo que nos demuestra que existe una probabilidad de que tambien sea vulnerable a SQL Injection.
Esta información fue enviada al CSIRT del Gobierno, quienes gestionaron con los responsables. Finalmente, se bajó la intranet y ya no se encuentra expuesta a internet (al menos en ese path :-)
Comentarios