Suscribirse

Categoría: Investigaciones

  • Cross-Site Scripting en el panel de administración de Firewall Analyzer

      Firewall Analyzer es una herramienta de ManageEngine que se utiliza para analizar logs, configuraciones y reportes de seguridad de distintos firewalls. Existe una vulnerabilidad XSS que afecta al login del demo, que no ha podido ser comprobada en la versión full (pagada).

  • Links para descargar los archivos PDF con datos de 13 millones de chilenos

    Hace un tiempo el Servicio Electoral de Chile (SERVEL), obligado por una ley, puso a disposición de todos la información de aproximadamente 13 millones de chilenos correspondiente al padrón electoral. Los archivos ya no se encuentran disponible en la dirección anterior y tampoco existe un link desde el sitio web.

  • Cross-Site Scripting: La vulnerabilidad más popular

    El 33% de los sitios reportados en Secureless son del tipo Cross-Site Scripting (XSS). Este tipo de vulnerabilidad es muy común en todo tipo de sistemas o sitios web, generalmente se produce por un mal manejo de las variables entregadas por URL. Podemos ver que los sistemas afectados pueden ser desde un simple portal web…

  • 3×1: Cross-Site Scripting, SQL Injection y Full Path Disclosure en sitio web chileno

    El día 12 de abril del 2010  fue publicado vía twitter una posible vulnerabilidad que afecta al sitio web chileno Subus Chile. La vulnerabilidad corresponde a SQL Injection la cual permite a su vez inyección de código html/javascript (cross-site scripting) y tambien nos permite conocer la ruta donde se encuentra el sitio en el servidor…

  • Los datos de 13 millones de chilenos disponibles en la red TOR

    Desde hace un tiempo que el Servicio Electoral (SERVEL) de chile entró en polémica debido a la publicación del padrón electoral, cuya información incluye nombre completo del votante, dirección y RUT (o DNI). En un principio se podía acceder a esta información ingresando el RUT de la persona y no contaba con ningún tipo de…

  • Sitio web de RADMIN (Remote Administrator) vulnerable a URL Redirection

    RADMIN es una herramienta para controlar computadoras de forma remota. El sitio web esta herraimenta es vulnerable a redireccion arbitraria de URL, permitiendo a un atacante redireccionar usuarios a sitios maliciosos.

  • Multiples Cross Site Scripting en Banco Estado

    Se han reportado cuatro vulnerabilidades Cross-Site Scripting (XSS) que afectan al portal del Banco Estado. Uno de ellos requiere tener la sesión iniciada y los otros tres pueden ser explotados sin necesidad de login. Las vulnerabilidades afectan a la Banca de Personas del Banco Estado.

  • Vulnerabilidades afectan al sitio web de LAN Airlines

    Luego de que se publicara la forma de acceder a los servidores de desarrollo de la empresa, se dieron a conocer 3 nuevas vulnerabilidades correspondientes a Directory Traversal+Local File Include y Cross-Site Scripting. Las vulnerabilidades fueron reportadas y se está trabajando para resolverlas.

  • Acceso al código fuente en la Superintendencia de Valores

    El sitio web de la Superintendencia de Valores tenía dos vulnerabilidades críticas del tipo Source Code Disclosure, lo que nos permite obtener codigo fuente de scripts y Directory Traversal, que nos deja acceder a archivos de configuracion del servidor. Este bug podria provocar el robo de información sensible de usuarios/clientes, datos importantes del servidor o incluso tomar control…

  • HTML Injection y URL Redirection en sitio web del Banco Santander

    Dos nuevas vulnerabilidades se han encontrado en el sitio web del Banco Santander. El atacante podría realizar una redirección arbitraria del usuario a un sitio web externo. Si bien está funcionando el filtro para evitar ataques Cross Site Scripting, no está escapando ni filtrando todos los tags html.