Hace más de un mes se reportaron 3 vulnerabilidades al Servicio de Impuestos Internos, las cuales han sido corregidas con éxito, aunque se han demorado en responder. En primera instancia las vulnerabilidades fueron reportadas y no se obtuvo una solución hasta luego de 1 mes, sin embargo, aparecieron otras 2 vulnerabilidades que fueron solucionadas horas […]
Hace más de un mes se reportaron 3 vulnerabilidades al Servicio de Impuestos Internos, las cuales han sido corregidas con éxito, aunque se han demorado en responder. En primera instancia las vulnerabilidades fueron reportadas y no se obtuvo una solución hasta luego de 1 mes, sin embargo, aparecieron otras 2 vulnerabilidades que fueron solucionadas horas despues de haberlas publicado.
Las nuevas vulnerabilidades corresponden a la número #2251 y #2252, una del tipo XSS y otra CSRF. Para explotar la vulnerabilidad hay que enviar mediante POST tres variables: opcion, flagLlamada y periodo. Cuando enviamos un valor, la URL de destino genera un código javascript similar a:
Por ejemplo, en la línea 5 recibe el valor que se envía por post mediante la variable “periodo”, si le enviamos el valor “; alert(/test/);// el código quedaría así:
Logrando con éxito la inyección de código javascript.
La vulnerabilidad XSS ya ha sido corregida, pero aún falta el trabajo de utilizar CSRF Tokens en los formularios.
Hace 10 meses aproximadamente fue lanzado el repositorio abierto de vulnerabilidades web Secureless, el cual busca recopilar y almacenar, en una gran base de datos, los sitios web vulnerables a distintos tipos de ataques. La idea principal fue hacer un tipo de wall-of-shame o muro de la verguenza, donde publicaríamos todas las vulnerabilidades web que […]
Custodium es una empresa o servicio que se decia la custodia de documentos electrónicos, la cual debería contar con la seguridad necesaria para que nadie pueda acceder a los documentos de sus clientes sin autorización. Lamentablemente la realidad no es así, basta con realizar una búsqueda en Google para poder acceder a documentos de uno […]