El 33% de los sitios reportados en Secureless son del tipo Cross-Site Scripting (XSS). Este tipo de vulnerabilidad es muy común en todo tipo de sistemas o sitios web, generalmente se produce por un mal manejo de las variables entregadas por URL. Podemos ver que los sistemas afectados pueden ser desde un simple portal web hasta sistemas un poco mas complejos como los bancos o universidades.
3×1: Cross-Site Scripting, SQL Injection y Full Path Disclosure en sitio web chileno
El día 12 de abril del 2010 fue publicado vía twitter una posible vulnerabilidad que afecta al sitio web chileno Subus Chile. La vulnerabilidad corresponde a SQL Injection la cual permite a su vez inyección de código html/javascript (cross-site scripting) y tambien nos permite conocer la ruta donde se encuentra el sitio en el servidor (full path disclosure).
Los datos de 13 millones de chilenos disponibles en la red TOR
Desde hace un tiempo que el Servicio Electoral (SERVEL) de chile entró en polémica debido a la publicación del padrón electoral, cuya información incluye nombre completo del votante, dirección y RUT (o DNI). En un principio se podía acceder a esta información ingresando el RUT de la persona y no contaba con ningún tipo de protección, por lo que era posible mediante un script obtener de forma secuencial los datos de todos los votantes chilenos. La solución del SERVEL fue implementar un captcha, el cual estaba basado en la hora del servidor y era facilmente predecible, de hecho el grupo Spect Research Security publicó mediante twitter un video donde demostraban como romper el captcha implementado para «proteger» los datos de robots.
Sitios web del Ministerio del Trabajo y de Economía vulnerados
Los sitios web del Ministerio de Economía y del Ministerio del Trabajo del Gobierno de Chile han sido atacados y defaceados por Audisoft Hacker Team. Actualmente ambos sitios se encuentran abajo.