Los sistemas web de la Clínica Indisa no almacenan la password cifrada y permite a usuarios acceder a ella. Si pinchamos en la opción ¿Olvidaste tu clave secreta? nos pedirá nuestro RUT/DNI, al ingresarlo nos envia la contraseña al correo en texto plano en lugar de generarnos una aleatoria: Otro detalle es el remitente del […]
Los sistemas web de la Clínica Indisa no almacenan la password cifrada y permite a usuarios acceder a ella.
Si pinchamos en la opción ¿Olvidaste tu clave secreta? nos pedirá nuestro RUT/DNI, al ingresarlo nos envia la contraseña al correo en texto plano en lugar de generarnos una aleatoria:
Otro detalle es el remitente del correo: grisel.tobar@indisa.cl. Es decir, probablemente este correo quede en la bandeja de salida o correos enviados de este usuario, pudiendo acceder a todos los correos de recuperación de contraseña y con ello, a las contraseñas de los usuarios de la Clínica.
La vulnerabilidad de inclusión de archivos locales, o más conocida como LFI o Local File Include, permite acceder a archivos del sistema y leerlo o ejecutarlo. En caso de poder leer los archivos que se incluyan explotando esta vulnerabilidad, un atacante podría tener acceso al codigo fuente y archivos de configuración del sistema.