XSS en sitio web de SYM Computación

/ Zerial / Hacking Seguridad Sitios Vulnerables
Hace un par de semanas reporté publicamente la existencia de una vulnerabilidad XSS y posible SQL Injection en el sitio web de SYM, https://www.sym.cl. Recibí una estupida respuesta por parte de una persona que se hace llamar "MadBox", quien decia textualmente:
el sitio de sym es vulnerable a todo a proposito y les encuentro razón mi casa tiene las puertas abiertas pero si robas pagas.
En fín ... Unos dias despues, se contacto conmigo Rodolfo Berrios, diseñador y encargado del sitio web, consultandome por las vulnerabilidades encontradas. Cuando intenté reproducir la vulnerabilidad XSS me encontré con la sorpresa de que ya estaba corregida! Sin embargo, no se corrigió del todo, ya que si bien no me dejaba inyectar código JavaScript, si me dejaba inyectar html Esto pasa al no controlar los parametros pasados por GET, en este caso los parametros de busqueda, un usuario al buscar algo puede escribir codigo html arbitrario. La URL vulnerable es: https://www.sym.cl/busqueda/?palabras=%22%3Eb+<aca codigo html> El problema ya está reportado y se está esperando una solución.
#cross-site scripting #hack #Hacking #inseguridad #Seguridad #sitios vulnerables #xss

Comentarios (4)

Rodolfo
Hola <del datetime="2010-08-09T02:20:20+00:00">Fernando</del> Zerial, he corregido el problema y el la causa es justamente lo que escribiste en esta entrada. Quería agradecer por ayudarnos en este sentido y por elaborar este claro reporte.

Gracias =)
Zerial
@Rodolfo: He vuelto a revisar la vulnerabilidad que publiqué y efectivamente se encuentra corregida. ;)
d3m4s1@d0v1v0
El tal MadBox debe vivir en un universo paralelo, donde todos son buenos...
eth666
tremendos aportes , genial tu manera de reportar los problemas y dar solución a los mismos

madbox ni un brillo

saludos

Deja un comentario