Investigaciones

Servicio de Impuestos Internos soluciona 1 de 5 vulnerabilidades reportadas

febrero 20, 2012
Hace más de un mes se reportaron 3 vulnerabilidades al Servicio de Impuestos Internos, las cuales han sido corregidas con éxito, aunque se han demorado en responder. En primera instancia las vulnerabilidades fueron reportadas y no se obtuvo una solución hasta luego de 1 mes, sin embargo, aparecieron otras 2 vulnerabilidades que fueron solucionadas horas […]

Hace más de un mes se reportaron 3 vulnerabilidades al Servicio de Impuestos Internos, las cuales han sido corregidas con éxito, aunque se han demorado en responder. En primera instancia las vulnerabilidades fueron reportadas y no se obtuvo una solución hasta luego de 1 mes, sin embargo, aparecieron otras 2 vulnerabilidades que fueron solucionadas horas despues de haberlas publicado.

Las nuevas vulnerabilidades corresponden a la número #2251 y #2252, una del tipo XSS y otra CSRF. Para explotar la vulnerabilidad hay que enviar mediante POST tres variables: opcion, flagLlamada y periodo. Cuando enviamos un valor, la URL de destino genera un código javascript similar a:

Por ejemplo, en la línea 5 recibe el valor que se envía por post mediante la variable “periodo”, si le enviamos el valor “; alert(/test/);// el código quedaría así:

Logrando con éxito la inyección de código javascript.

La vulnerabilidad XSS ya ha sido corregida, pero aún falta el trabajo de utilizar CSRF Tokens en los formularios.

chilecsrfservicio de impuestos internossiixss

Comparte este Artículo

Artículos relacionados