08Nov/12

Cross-Site Scripting en el panel de administración de Firewall Analyzer

 

Firewall Analyzer es una herramienta de ManageEngine que se utiliza para analizar logs, configuraciones y reportes de seguridad de distintos firewalls. Existe una vulnerabilidad XSS que afecta al login del demo, que no ha podido ser comprobada en la versión full (pagada).

Leer artículo completo

07Nov/12

Links para descargar los archivos PDF con datos de 13 millones de chilenos

Hace un tiempo el Servicio Electoral de Chile (SERVEL), obligado por una ley, puso a disposición de todos la información de aproximadamente 13 millones de chilenos correspondiente al padrón electoral. Los archivos ya no se encuentran disponible en la dirección anterior y tampoco existe un link desde el sitio web.

Leer artículo completo

06Nov/12

Cross-Site Scripting: La vulnerabilidad más popular

El 33% de los sitios reportados en Secureless son del tipo Cross-Site Scripting (XSS). Este tipo de vulnerabilidad es muy común en todo tipo de sistemas o sitios web, generalmente se produce por un mal manejo de las variables entregadas por URL. Podemos ver que los sistemas afectados pueden ser desde un simple portal web hasta sistemas un poco mas complejos como los bancos o universidades.

Leer artículo completo

05Nov/12

3×1: Cross-Site Scripting, SQL Injection y Full Path Disclosure en sitio web chileno

El día 12 de abril del 2010  fue publicado vía twitter una posible vulnerabilidad que afecta al sitio web chileno Subus Chile. La vulnerabilidad corresponde a SQL Injection la cual permite a su vez inyección de código html/javascript (cross-site scripting) y tambien nos permite conocer la ruta donde se encuentra el sitio en el servidor (full path disclosure).

 

Leer artículo completo