Categoría: Investigaciones
-
HTML Injection y URL Redirection en sitio web del Banco Santander
Dos nuevas vulnerabilidades se han encontrado en el sitio web del Banco Santander. El atacante podría realizar una redirección arbitraria del usuario a un sitio web externo. Si bien está funcionando el filtro para evitar ataques Cross Site Scripting, no está escapando ni filtrando todos los tags html.
-
Acceso a certificados FONASA
El Fondo Nacional de Salud (FONASA) permite generar certificados de afiliación para sus beneficiarios, el cual «certifica» que estás en FONASA y el grupo al cual perteneces. Para generar el certificado debes iniciar sesión y pinchar en «Certificado», luego eres redirigido a una URL tipo https://firma.fonasa.cl/ca/2012/3/24, la fecha que se ve en la URL corresponde…
-
Full Path Disclosure en servidores con WordPress
La mayoría de los Full Path Disclosure que tenemos en la base de datos se producen principalmente por dos motivos: 1) Por una mala configuración en el servidor 2) Porque el desarrollador o el «framework» no valida las llamadas directas al archivo. Siempre es posible realizar llamdas directa a los archivos php correspondientes a themes…
-
Centro de diagnostico medico «MaipoSalud» expone examenes de sus pacientes
Maipo Salud es un centro médico que da la posibilidad de que sus pacientes revisen sus examenes por internet, pero no brindan la suficiente seguridad para que no sean accesibles por cualquier persona. Esta vulnerabilidad la podríamos catalogar como «Data Leak» y se puede explotar simplemente modificando el ID que sele entrega como parametro a…
-
Vinylmusix – Expone sus backups al publico
Vinylmusix es un sitio dedicado a la venta de material musical, el cual presenta una falla de seguridad categorizada -en secureless- como Data Leak, ya que deja disponible para cualquier usuario el directorio de sus respaldos. El directorio backup/ es un subdirectorio de admin/, aparentemente tambien se trata de un Auth Bypass, al poder…
-
Multiples vulnerabilidades en sitio web de la Clínica Vespucio
Se han reportado varias vulnerabilidades en el sitio web de la Clínica Vespucio. Los fallos son del tipo Full Path Disclosure, Cross Site Scripting y SQL Injection. Las más peligrosa es la última mencionada, ya que el usuario de conexión a la base de datos es root. La prueba de concepto que se ha elaborado…
-
Vulnerabilidades en el sitio web de Clínica Portada
Al menos 5 vulnerabilidades se han reportado sobre el sitio web de Clínica Portada, la mayoría a SQL Injection. En las pruebas de concepto realizadas se puede obtener información sobre la base de datos como el usuario de conexión, nombre de la base de datos y versión del motor. El atacante podría explotar las vulnerabilidades…
-
Entel nuevamente afectado por un Data Leak por culpa de un proveedor
En la noticia anterior, Entel se vió afectada por la publicación de información sensible sobre la empresa y sus clientes, hoy se hizo publico otro directorio de otra empresa la cual también publicaba información sensible sobre la empresa. La empresa, según la información del registro del dominio, corresponde a «Call Center Actualiza Ltda«, que bajo…
-
Empresa de custodia de documentos electronicos filtra datos de sus clientes
Custodium es una empresa o servicio que se decia la custodia de documentos electrónicos, la cual debería contar con la seguridad necesaria para que nadie pueda acceder a los documentos de sus clientes sin autorización. Lamentablemente la realidad no es así, basta con realizar una búsqueda en Google para poder acceder a documentos de uno…
-
Servicio de Impuestos Internos soluciona 1 de 5 vulnerabilidades reportadas
Hace más de un mes se reportaron 3 vulnerabilidades al Servicio de Impuestos Internos, las cuales han sido corregidas con éxito, aunque se han demorado en responder. En primera instancia las vulnerabilidades fueron reportadas y no se obtuvo una solución hasta luego de 1 mes, sin embargo, aparecieron otras 2 vulnerabilidades que fueron solucionadas horas…
Debe estar conectado para enviar un comentario.