La lista de vulnerabilidades de esta semana corresponde a 5 sitios con vulnerabilidad de tipo XSS. Esta vulnerabilidad permitiría al atacante obtener información personal de cualquier usuario mediante phishing.
Los sitios afectados son:
Desde hoy en adelante, con el fin de ayudar y promover la seguridad de la información en Chile, comenzaré a publicar –en lo posible– todos los fines de semana una lista de al menos 5 sitios con fallas de seguridad de distintos tipos y, a fin de cada mes, haré un resumen de todos los
sitios publicados durante el mes.
Una véz más, un sitio chileno compromete su seguridad por falta de validación en la entrada de datos o argumentos pasados por url. Es el turno del sitio del web Observatorio Latinoamericano de Seguridad Ciudadana (OLSC) quien sufría de un fallo de seguridad importante al poder acceder a cualquier fichero del servidor, incluyendo los códigos fuentes de los scripts php.
Gracias al script download.php que nos permitia descargar cualquier fichero fue posible obtener información sensible como:
Como es de costumbre, me comuniqué con el encargado de este sitio web y le comenté el problema, él se mostró muy interesado y solucionó de inmediato el problema, su respuesta fue:
Ya hice el cambio que me recomendaste para permitir sólo descargas desde el directorio files. Te agradezco sinceramente el consejo que me diste, no sólo porque ha evitado un problema para la gente de olsc, sino también la gente de otros sitios que he hecho donde también he usado esta función.
La URL vulnerable era la siguiente es https://www.olsc.cl/download.php?f=../../../../fichero/a/obtener, la cual fue removida.
Bien. Hace tiempo vengo hablando sobre las vulnerabilidades web, escribí un artículo sobre los fallos que tenia tiene la web Caffarena y la verdad es que me he encontrado con varias sorpresas en otros sitios web.
Me gustaria hacer una observación a todas las empresas que se dedican al desarrollo de aplicaciones web: Existen frameworks muy buenos, libres y gratuitos y aveces conviene mucho más entender ese framework y no hacer uno propio.
El error que cometen muchas empresas como ésta es que, al usar un mismo framework (desarrollado por ellos mismos), para todos sus clientes, cuando se encuentra una vunlerabilidad en almenos 1 sitio, este mismo fallo se aplica automaticamente a todos sus clientes y de esta forma ponen en riesgo ademas de sus clientes, a los clientes de otras empresas (cuando comparten un mismo servidor de hosting).
Les voy a hablar sobre la empresa GoldenData Ltda., quienes se dedican al desarrollo web. Antes de publicar y decir cualquier cosa, quiero aclarar que yo me comuniqué con estas personas para darles a conocer sus fallos de seguridad en todos y cada uno de sus sitios web obteniendo un cierto interes por parte de ellos para solucionar el problema. En un principio les comenté sobre la falla en su sitio web lo que me respondieron:
Actualmente estamos rediseñando todo el sitio web, así que el sitio actual será desechado en el corto plazo.
Días despues, les envié otro correo electrónico para comentarles que esa falla que tenian en su sitio web se replicaba a todos y cada uno de los sitios de sus clientes, obteniendo la siguiente respuesta:
De verdad me interesa el tema, pero actualmente estoy realmente
colapsado, ya que se juntaron muchos proyectos y temas internos. Voy a
aumentarle la prioridad a ese tema. Estamos en contacto. Saludos!
Ya ha pasado casi un mes desde el primero correo electrónico que les envié y no han solucionado el problema, por lo que no me sentiré mal al publicar sus falencias.
Así es, como el título lo dice, la empresa de autopista Sociedad Concesionaria Vespucio Norte Express S.A. (AVN) no está protegiendo la información de sus clientes y es posible mediante el sitio web obtener información tal como nombres, apellido paterno y materno, direccion de facturación, osea donde vive el cliente, patente del vehículo, información sobre partes, valores a pagar, valores pagados con sus fechas correspondientes, numero de telefono particular, direccion de correo electrónico, fecha de nacimiento, deudas a la empresa.
Tal como lo explica Ivan en su blog, hay que seguir una serie de pasos para lograr el objetivo. Personalmente creo que sería muy complicado escribir un bot que sea el encargado de obtener la mayor cantidad de información posible, pero no imposible. Con un poco de imaginación y destreza podemos lograrlo.
Luego de intentar comunicarnos con la gente encargada del sitio web de esta empresa mediante los correos electrónicos seleccion@vespucionorte.cl y contacto@vespucionorte.cl y sin tener ningun tipo de respuesta, decidimos hacer publico el documento.
Documento completo: https://blog.cuack.org/2009/bug-en-sitio-de-empresa-avn-cl-avenida-vespucio-norte-tags-autopistas/
NIC Chile es la entidad encargada de la gestión de dominios .cl, a cargo de la Universidad de Chile. Actualmente, para realizar la compra de un dominio es necesario entregar una serie de información personal como el rut, nombre, dirección, ciudad, entre otros. Es obvio que esos datos ingresados quedan almacenados en algún lugar y lo que tambien es obvio, acceder a dicha información de una u otra forma.
NIC ha puesto a disposición de todos nosotros algunos datos de esas personas, de manera tal que podamos hacer la relación rut-nombre. La forma en que NIC facilita el registro de dominios es que, al escribir el rut del registrante, automáticamente rellena los campos del nombre de la persona, sin verificación ni ningún tipo de validación.
© 2024 El rincón de Zerial
Tema por Anders Norén — Subir ↑
Comentarios recientes