06Nov/12

Cross-Site Scripting: La vulnerabilidad más popular

El 33% de los sitios reportados en Secureless son del tipo Cross-Site Scripting (XSS). Este tipo de vulnerabilidad es muy común en todo tipo de sistemas o sitios web, generalmente se produce por un mal manejo de las variables entregadas por URL. Podemos ver que los sistemas afectados pueden ser desde un simple portal web hasta sistemas un poco mas complejos como los bancos o universidades.

Leer artículo completo

05Nov/12

3×1: Cross-Site Scripting, SQL Injection y Full Path Disclosure en sitio web chileno

El día 12 de abril del 2010  fue publicado vía twitter una posible vulnerabilidad que afecta al sitio web chileno Subus Chile. La vulnerabilidad corresponde a SQL Injection la cual permite a su vez inyección de código html/javascript (cross-site scripting) y tambien nos permite conocer la ruta donde se encuentra el sitio en el servidor (full path disclosure).

 

Leer artículo completo

31Oct/12

Los datos de 13 millones de chilenos disponibles en la red TOR

Desde hace un tiempo que el Servicio Electoral (SERVEL) de chile entró en polémica debido a la publicación del padrón electoral, cuya información incluye nombre completo del votante, dirección y RUT (o DNI). En un principio se podía acceder a esta información ingresando el RUT de la persona y no contaba con ningún tipo de protección, por lo que era posible mediante un script obtener de forma secuencial los datos de todos los votantes chilenos. La solución del SERVEL fue implementar un captcha, el cual estaba basado en la hora del servidor y era facilmente predecible, de hecho el grupo Spect Research Security publicó mediante twitter un video donde demostraban como romper el captcha implementado para «proteger» los datos de robots.

Leer artículo completo