05Nov/12

3×1: Cross-Site Scripting, SQL Injection y Full Path Disclosure en sitio web chileno

El día 12 de abril del 2010  fue publicado vía twitter una posible vulnerabilidad que afecta al sitio web chileno Subus Chile. La vulnerabilidad corresponde a SQL Injection la cual permite a su vez inyección de código html/javascript (cross-site scripting) y tambien nos permite conocer la ruta donde se encuentra el sitio en el servidor (full path disclosure).

 

Leer artículo completo

31Oct/12

Los datos de 13 millones de chilenos disponibles en la red TOR

Desde hace un tiempo que el Servicio Electoral (SERVEL) de chile entró en polémica debido a la publicación del padrón electoral, cuya información incluye nombre completo del votante, dirección y RUT (o DNI). En un principio se podía acceder a esta información ingresando el RUT de la persona y no contaba con ningún tipo de protección, por lo que era posible mediante un script obtener de forma secuencial los datos de todos los votantes chilenos. La solución del SERVEL fue implementar un captcha, el cual estaba basado en la hora del servidor y era facilmente predecible, de hecho el grupo Spect Research Security publicó mediante twitter un video donde demostraban como romper el captcha implementado para «proteger» los datos de robots.

Leer artículo completo

08Ago/12

AudiHack 2012: Hacking Etico y Seguridad Informatica

AudiHack es un congreso de seguridad informática que se realiza en Bolivia. Este año se realizará la segunda versión y cuenta con expositores internacionales que compartirán en el evento el «actual estado del Arte» con sus conocimientos y experiencia, en 2 jornadas Full (jueves 25 y viernes 26 de octubre del 2012).

Leer artículo completo