El rincón de Zerial

Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio

Mostrar menú Ocultar menú

Etiquetacross-site scripting

XSS y CSRF en sitios web de Bancos: Ellos mismos facilitan el phishing

mayo 2, 2011 /

Se está poniendo de moda el phishing y el robo de datos bancarios para realizar transferencias no deseadas, cada vez son mas los usuarios afectados y muchos de ellos no logran recuperar su dinero, simplemente el banco no responde. Por un lado tienen razón, ya que quien entregó su información personal y privada fueron ellos mismos, pocas veces este tipo de robos son debido a una falla/bug/vulnerabilidad que afecte directamente al banco.

Imagen tomada de quejasyfraudes.infoEn Chile, los bancos tienen una campaña contra el phishing donde se limitan a entregar manuales y decir “no ingreses tus datos donde no debes”, pero realmente no se preocupan de tener mecanismos de validación y protección, permitiendo que cualquier persona pueda suplantar su identidad y usar la confianza que tiene el usuario en el sitio.
Existe un sitio llamado “avispate.cl“, que supuestamente es para hacer un llamado a la gente y educar para que no caigan en este tipo de trampas y no entreguen información a cualquier sitio.

Bien, por un lado tenemos que los usuarios entregan información a personas que no corresponden, que caen en las trampas pero por otro lado, algo que es claramente responsabilidad del banco: Hacer que sus sitios y sistemas sean 100% seguros!

Seguir leyendo

Multiple XSS+CSRF encontrados en sitio web de Movistar Chile

abril 25, 2011 /

Reportamos en Secureless una serie de vulnerabilidades XSS y CSRF que afectan al sitio web de Movistar y a sitios relacionados a la empresa. Los sitios afectados son:

Las vulnerabilidades detectadas nuevamente ponen en riesgo la seguridad del usuario aprovechandose de la confianza que existe desde el usuario hacia el sitio y viceversa.
El estado de estas vulnerabilidades es hasta ahora “Sin Reportar”, ya que por más que buscamos en el sitio web y tambien ayudandonos con google, no pudimos encontrar ningún formulario ni correo de contacto sin que nos pidiera registrarnos o ser clientes. Sólo lo reportamos vía twitter haciendo un reply a la cuenta de @MovistarChile.

Seguir leyendo

Vulnerabilidades reportadas y corregidas en sitio web ESET Latinoamerica

abril 7, 2011 /

El fin de semana recien pasado, nos juntamos en el laboratorio en una “hacking night” analizando vulnerabilidades web de varios sitios, entre ellos estuvo el de ESET Latinoamerica.

La vulnerabilidades encontradas fueron del tipo “descubrimiento de informacion” que nos permitieron descubrir el path, el usuario de sistema, usuario de base de datos, nombre de la base de datos, nombres de las tablas, etc. Por otro lado, encontramos tambien script y formularios vulnerables a XSS.
Las vulnerabilidades fueron corregidas 1 dia despues de haber sido reportadas.
Las URLs afectadas son:

– https://www.eset-la.com/centro-amenazas/article.php
– https://www.eset-la.com/company/article.php
– https://www.eset-la.com/rss/podcasts
– https://www.eset-la.com/centro-amenazas/descarga/compania/cool_stuff.php
– https://www.eset-la.com/xtrasappz/ajax/events.ajax.php
– https://ps.eset-la.com/forms/prospectos.php
– https://ps.eset-la.com/forms/numeros_serie_registracion.php

Estas dos ultimas con https.

Seguir leyendo

Multiples vulnerabilidades en sitio web de Terra

diciembre 28, 2010 /

Vulnerabilidades del tipo XSS, SQL Injection y Full Path Disclosure tiene el sitio web de Terra Networks Chile, estas vulnerabilidades las encontré el Sábado 25 de Diciembre y reportada el 27.

Las URL vulnerables corresponden al buscador de terra: buscador.terra.cl; al sitio de “seguridad”: seguridad.terra.cl; sitio web mobil:m.terra.cl; sitio web principal:www.terra.cl;y un sub-portal: acaballo.terra.cl

Timeline
* 25/Diciembre/2010: Se encuentran las vulnerabilidades.
* 27/Diciembre/2010: Se reportan.
* 28/Diciembre/2010: No se obtiene respuesta. Se publican.

Seguir leyendo

XSS en el sitio web de FeriaTicket y FeriaMix

diciembre 14, 2010 /

FeriaTicket se dedica a la venta de tickets/entradas de eventos de todo tipo y FeriaMix vende libros y música, mediante el registro de usuario es posible realizar compras en línea en ambas tiendas. Ambos sitios web, pertenecientes a la misma empresa, están desarrollados por la misma empresa usando el mismo sistema web (framework, cms o como quieran llamarlo) y así mismo, comparten los mismos bugs y vulnerabilidades.

La vulnerabilidad en común corresponde a una del tipo Cross-Site Scripting (XSS) al no validar los parametros de la URL, permitiendo la inyección de código html o javascript arbitrario.
Especificamente, se encuentra en el script wspd_cgi.sh al no validar el valor que se le entrega a la variable wspd_cgi.sh.

wspd_cgi.sh/WService=<código malicioso>

No está demas decir que la vulnerabilidad permite redireccionar a un sitio distinto al de FeriaTicket o FeriaMix, pudiendo robar las cookies y suplantar la identidad de los clientes, accediendo a información privada. A pesar de lo que la empresa declara en su página relacionada con la privacidad y la seguridad:

Compromiso con la Seguridad
En relación a nuestro sitio web (www.feriamix.cl), Empresas Feria hace esta declaración de seguridad y privacidad en orden a demostrar y comunicar su compromiso con una práctica de negocios de alto nivel ético y dotada de los controles internos apropiados.

Protección de Datos
Nuestro sitio está protegido con una amplia variedad de medidas de seguridad, tales como procedimientos de control de cambios, passwords y controles de acceso fí­sico. También empleamos otros mecanismos para asegurar que los datos que nos proporcionas no sean extraviados, mal utilizados o modificados inapropiadamente. Esos controles incluyen polí­ticas de confidencialidad y respaldo periódico de bases de datos.

Puedo asegurar que no están cumpliendo con lo que dicen.

Seguir leyendo

XSS En todos los sitios de Google

noviembre 16, 2010 /

Hasta los más grandes tienen sus errores y vulnerabilidades más estúpidas. Ahora es el turno de Google, aunque ya corrigieron el problema, me gustaria darlo a conocer.

El problema lo corrigieron (parcialmente) casi 30 minutos luego de haberlo reportado, sin embargo, la gente del Google Security Team, me comentaron que ya lo habían reportado. Sin embargo, lo habían corregido parcialmente, ya que aún existían sitios que tenian el problema. Por ejemplo, corrigieron el problema en docs.google.com, www.google.com y en mail.google.com, pero en labs.google.com, code.google.com y otros seguía existiendo. Cuando me dijeron que ya lo habían corregido, les reporté que la vulnerabilidad continuaba en algunos sitios, y luego de esto lo corrigieron.

Hasta la fecha, al parecer ya están todos los subdominios corregidos.

Seguir leyendo

Antiguas entradas Nuevas entradas

© 2024 El rincón de Zerial

Tema por Anders NorénSubir ↑