El Registro Civil del Gobierno de Chile permite realizar trámites en linea, mediante el sitio web http://www.srcei.cl. El problema,es que estan utilizando un certificado inválido, permitiendo que cualquier atacante pueda aprovecharse.
Al ingresar a http://www.registrocivil.cl, en una de las opciones del menu, linkea a http://www.srcei.cl dentro de un iframe. En este iframe se muestra la URL https://www.srcei.cl, el cual presenta un certificado válido solo para http://www.registrocivil.cl.
De esta forma, estan obligando al usuario a que acepte el certificado no valido para ese dominio, abriendo las puertas a atacantes que quieran realizar ataques MiTM, el cual permite ver todo el tráfico entre el usuario y el servidor, incluyendo usuarios, claves e información personal.
Probablemente los desarrolladores pensaron que, como el certificado es válido solo para http://www.registrocivil.cl, podrian ahorrarse la compra de otro certificado incrustando este otro dominio dentro de un iframe.
Solo aclarar que mi comentario anterior estaba equivocado,, no era un LFI, el problema es que tenian mal configurado el servidor, permitiendo ver los archivos con extension .htaccess.
Saludos.
Local File Inclusion :x, les avise hace más de 2 semanas y ninguna respuesta.
http://www.registrocivil.cl/OficinaInternet/servlet/MuestraPagina?contexto=0&pagina=../../../../.htaccess