CMS - 'FICHA.com' vulnerable a Cross-site Scripting

FICHAS.COM  permite crear sitios autoadminstrables de forma facil y rapida ( 3 minutos ) , como esta escrito en el sitio;  cito: "FICHAS.COM - Como crear una página Web - Página Web Autoadministrable. Fichas.com es un Content Management System. Programado por Jorge Silberstein B., Interchile Network®. (c) 2005 - 2010. All rights reserved."  Dorkeando en google, llegue a una url que era vulnerable a Xss , e hice la prueba a los demas sitios creados con el mismo CMS y el resultado fue positivo, los sitios bajo este CMS estan afectados de la siguiente forma

http://www.sitio.com/error.asp?e=  

Donde la variable e= permite el Cross-site scripting.


Algunos sitios afectados por esta vulnerabilidad son:


http://www.come-dor.cl/ 
http://forestahotel.cl/
http://www.conecac.cl/
http://viejitopascuero.fichas.com
http://www.generatesystems.cl/
http://www.seinteg.cl/
http://www.espaciodeportivo.cl/
http://cmgmaderas.cl/
http://efrainfrias.cl
http://www.auxiliaresdevuelo.cl
http://www.inbusiness.cl/
http://www.centroatencionpsicoanalitica.cl/
http://www.servapin.cl/
http://www.centroatencionpsicoanalitica.cl/
http://www.mundowifi.cl/ 
http://www.accarros.cl/
http://www.institutosersoft.cl/
http://www.parroquial.cl/
http://indla.cl/
http://www.duclos.cl/
http://www.abrandp.cl/
http://www.koba.cl/
http://www.emdo.cl/
http://www.casaestudioxigeno.cl
http://www.espaciofutbolito.cl/
http://www.pepe-audio.cl/
http://www.constructoracimientos.cl/
http://www.ptajefferson.cl/
http://www.proyectototal.cl/  
http://www.artesigno.cl/
http://www.fresno.cl/
http://viruta.cl/
http://maderaspereira.cl/
http://www.acresortes.cl/
http://www.neoamanecer.cl/

 


La lista se va actualizando , agregando los demas sitios afectados...

Nuestra informacion, ¿un negocio a escondidas?

Antes de comenzar con este articulo, quiero decir que lo que me llevó a escribirlo fue la gran sorpresa de como la información pasa  entre las empresas, cada una sacando el beneficio que les interesa. Esto es un caso real que me pasa a mi en estos momentos y lo expondré.

Aproximadamente en el mes de Diciembre de año 2010 adquerí un teléfono movíl (iphone) en la empresa Movistar, en esos momentos como tenia que contratar un plan tuve que sacarlo a nombre de un tercero ya que yo no tenía ingresos,ni nada por el estilo. Esta persona a la cual su identidad protegeré, mediante el uso de la tarjeta CMR FALABELLA compró mi celular del cual yo me hice cargo en el pago mensual de la cuenta y demases. Todo fue con normalidad por muchos meses, cabe destacar que Jamás este celular ha sido ingresado en la base de datos de una entidad comercial o bancaria, ni nada por el estilo, alcontrario he sido muy reservado en su uso.

Como dato anexo, cuando en algunas situaciones me atrasé algunos dias en el pago de la cuenta, claramente y como era de esperar, al llamar preguntaban por el titular de la cuenta, que es esta persona y en la base de dato yo ingrese mi email personal para que me llegaran las boletas electronicas a mi.

Hace casi un mes, recibo una llamada de un número desconocido para mi y era una Operadora que me llamaba para informa que tenia una deuda con la tarjeta comercial PRESTO ( tarjeta queno poséo) al expresarle que yo no soy cliente de tal tarjeta me dice que el titular de la cuenta por al cual llaman es ' La persona quien me compró el celular', lo que me llama mucho la antención y le digo que esta equivocado.

El día de hoy, como es de costumbre reviso mi correo personal y en el Inbox terngo un correo de Tarjeta RIPLEY , y como era de esperar, el verdadero destinatario del correo debia ser ' La persona quien me compró el celular' de hecho su nombre venia en el encabezado del correo.

Quiero poner bastante enfasis en que: El celular fue comprado con la tarjeta CMR FALABELLA de esta persona que amablemente me facilitó su cuenta y  ella es titular en MOVISTAR de mi numero, pero jámas ha sido utilizado por ella ( por ende no cabe ninguna posibilidad en que haya sido ingresado ni en PRESTO, ni en RIPLEY a su nombre, ni a nombre de nadie porque yo no poseo esas tarjetas). El teléfono desde que fue entregado ha sido utilizado por mí.

Ahora entonces me entonces es que me pongo a pensar,  ¿Cómo la empresa responsable de la tarjeta PRESTO obtuvo esta información para relacionar mi número movil, con la cuenta de la persona quien me compró el celular? , mas increible aún y ahi apelo directamente a la poca 'privacidad' de mis datos por parte de MOVISTAR ( por no decir que ""comparte"" la base de dato de clientes con otras empresas) como es posible que RIPLEY envie correo a mi email personal, el cual solamente fue ingresado a Movistar para que llegara la boleta electronica , con información de quien me compró el celular.

La verdad yo no sé si esta es una practica habitual de las empresas, pero más aún ¿esto esta dentro del contexto legal? , No deberia pasar que la informacion ingresada en un sitio, fuera 'publica' para la red de entidades comerciales .

Opine;

@Shinee_

[Bug] Transferencias en BancoEstado - Chile

Bueno en esta ocasión vamos a exponer un Bug que se genera al momento de realizar transferencias a través del sitio de BancoEstado. El Bug ya fué informado a la Entidad Bancaria y supuestamente esta en revisión; Comenzemos:


-Estando Logueados en mi sesión de BancoEstado , me dirijo al menú  y reviso mi saldo, podremos observar que tengo $301 pesos en mi cuenta.

-Entonces me dirijo a transferencias y trato de formular una de $3000 pesos ( Monto que No tengo)
y como era de esperar me salta un mensaje de saldo insuficiente.

-Ahora voy a formular una transferencia de un valor menor al que tengo disponible y capturo las Cabeceras, las edito ( Monto disponible: $10.000.000 y Monto a transferir: $500.000) y las repito, obteniendo lo siguiente:

 Ahí esta lista para la confirmación, bastaria ingresar las tres combinaciones privadas de mi tarjeta de transferencias solicitada, e intentar el traspaso para que se realice con exito, cosa que no creo que se lleve a cabo, pero aún asi sigue siendo un Bug; si fuera posible pasaria a ser una vulnerabilidad.

Eso es todo, atte: @Shinee_ Saludos.
Pd: Esto ha sido Informado a Bancoestado.

VTR Chile; simplemente un servicio deficiente.

Llevo años siendo cliente de Vtr Chile , tanto es sus servicios de internet como de television por cable, durante años solo tenia problemas de lentitud y uno que otro problema al jugar juegos online donde finalmente se perdia la conexión. Pero ya hace un mes , es que se ha vuelto insoportable la deficiencia en el servicio de Internet de Vtr Chile . En el cual el servicio se vuelve intermitente , y se cae a cada momento la señal de internet quedando parpadeando el modem, la unica solución ( bastante incomoda) es pararse y soltar el cable coaxial, esperar unos segudos y conectarlo, y la señal vuelve ; pero la verdad Chile menciona que en sus registros no le aparece ningun problema , y que me recomiendo solicitar la venida de uno de sus 'técnicos' , y que en el caso de que el problema sea "mio" esta visita tendra un valor asociado.