HTML Injection y URL Redirection en sitio web del Banco Santander

El Fondo Nacional de Salud (FONASA) permite generar certificados de afiliación para sus beneficiarios, el cual “certifica” que estás en FONASA y el grupo al cual perteneces. Para generar el certificado debes iniciar sesión y pinchar en “Certificado”, luego eres redirigido a una URL tipo https://firma.fonasa.cl/ca/2012/3/24, la fecha que se ve en la URL corresponde […]

La mayoría de los Full Path Disclosure que tenemos en la base de datos se producen principalmente por dos motivos: 1) Por una mala configuración en el servidor 2) Porque el desarrollador o el “framework” no valida las llamadas directas al archivo. Siempre es posible realizar llamdas directa a los archivos php correspondientes a themes […]

Maipo Salud es un centro médico que da la posibilidad de que sus pacientes revisen sus examenes por internet, pero no brindan la suficiente seguridad para que no sean accesibles por cualquier persona. Esta vulnerabilidad la podríamos catalogar como “Data Leak” y se puede explotar simplemente modificando el ID que sele entrega como parametro a […]

Vinylmusix es un sitio dedicado a la venta de material musical,   el cual presenta una falla de seguridad categorizada -en secureless- como Data Leak, ya que deja disponible para cualquier usuario el directorio de sus respaldos. El directorio backup/ es un subdirectorio de admin/, aparentemente tambien se trata de un Auth Bypass, al poder […]

Se han reportado varias vulnerabilidades en el sitio web de la Clínica Vespucio. Los fallos son del tipo Full Path Disclosure, Cross Site Scripting y SQL Injection. Las más peligrosa es la última mencionada, ya que el usuario de conexión a la base de datos es root. La prueba de concepto que se ha elaborado […]

Al menos 5 vulnerabilidades se han reportado sobre el sitio web de Clínica Portada, la mayoría a SQL Injection. En las pruebas de concepto realizadas se puede obtener información sobre la base de datos como el usuario de conexión, nombre de la base de datos y versión del motor. El atacante podría explotar las vulnerabilidades […]

En la noticia anterior, Entel se vió afectada por la publicación de información sensible sobre la empresa y sus clientes, hoy se hizo publico otro directorio de otra empresa la cual también publicaba información sensible sobre la empresa. La empresa, según la información del registro del dominio, corresponde a “Call Center Actualiza Ltda“, que bajo […]

Custodium es una empresa o servicio que se decia  la custodia de documentos electrónicos, la cual debería contar con la seguridad necesaria para que nadie pueda acceder a los documentos de sus clientes sin autorización. Lamentablemente la realidad no es así, basta con realizar una búsqueda en Google para poder acceder a documentos de uno […]

Hace más de un mes se reportaron 3 vulnerabilidades al Servicio de Impuestos Internos, las cuales han sido corregidas con éxito, aunque se han demorado en responder. En primera instancia las vulnerabilidades fueron reportadas y no se obtuvo una solución hasta luego de 1 mes, sin embargo, aparecieron otras 2 vulnerabilidades que fueron solucionadas horas […]