[xss & html injection] En sitio de la Universidad Catolica Del Norte

Esta será una publicación corta, sin mayor análisis.

El sitio web de la Universidad Catolica del Norte UCN, nos dirijimos a la siguiente Url :   https://online.ucn.cl/onlineucn/activar_cuenta/ para activar una cuenta:

Introducimos cualquier Rut incorrecto para generar el error:

La ruta completa queda como:

https://online.ucn.cl/onlineucn/aviso.asp?msg=Estimado+usuario+usted+no+esta+registrado+en+los+Servicios+OnLineUCN.%3Cbr%3E%3Cbr%3E%3Cdiv+aling%3D%27left%27%3ESi+esta+situaci%26oacute%3Bn+no+es+normal%2C%3Cbr%3Epor+favor%26nbsp%3B%3Ca+href%3D%27javascript%3Acontacto%28%29%3B%27%3EEnv%26iacute%3Benos+sus+consultas%3C%2Fa%3E

Cambiamos el valor a la variable msg= y obtenemos nuestra prueba de concepto.
Xss + Html injection:

https://online.ucn.cl/onlineucn/aviso.asp?msg=%27%22%3E%3Cscript%3Ealert%28/XSS/%29%3C/script%3E%3Cp%3E%3Cfont%20size=4%3E%3Ccenter%3E%3Cmarquee%3E%3Ch1%3EPrueba%20Concepto%3C/h1%3E%3C/marquee%3E

@Shinee_

[xss] en el Sitio de PCFactory

Anteriormente se publicó sobre un Cross-site scritpting que afectaba al sitio de PCFactory --> Enlace

El dia de ayer encontre el siguiente XSS que se obtiene via método POST.

En la seccion de 'Boletas electrónicas' , vemos que podemos llenar 3 campos:

Rellenamos con cualquier dato , y capturamos las cabeceras:

·# Variables Afectadas son:  'txtMontoTotal=' ; 'txtFechaEmision=' ; 'txtFolio='

Prueba de Concepto:

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Lo mismo ocurre en el sector para consultar por Ordenes de servicio:

Capturamos las cabeceras y repetimos con los campos modificados:

Mismo resultado y obtenemos el Alert:

Saludos, @shinee_

Aclaraciones: Respecto a la publicacion de hoy en el diario La Estrella de Antofagasta

Hoy martes13 de Marzo , salió una publicación en el diario La Estrella de Antofagasta sobre el tema de los jardines y sus problemas de seguridad en las camaras web. Accedí a esto debido a que pienso que es importante que la comunidad tome conciencia de los riesgos que hay en internet y se informe claro.
Pero hay varias aclaraciones que debo hacer , ya que al leer la publicación creo que se cometieron errores conceptuales sobre algunos terminos explicados, y que puse harto enfasis en la explicacion y aclaración pero que de igual manera sucedio.

Bueno comenzemos con las aclaraciones y comentarios:

 Aclaro por si las personas interpretan esto de forma incorrecta, el acceso a las webcams es debido a que despues de la autentificacion (usuario/pass) uno es redireccionado a la pagina donde visualiza la camara, pero lo que ocurre es que si uno desea dirigirse directamente a esta ruta de forma directa, no hay nada que te lo impida , por lo tanto es inutil la autentificación.

 Con respecto al Jardín Didacta, se reportó lo sucedido a su correo info@jardindidacta.cl ( su formulario de contacto no sirve) con fecha  06/03/2012.

La explicación con respecto a que la situación debio ocurrir en un breve periodo, no es correcta, es más , en este momento que son las 10:32 am del dia 13/03/2012 aún se puede acceder a la webcam del Jardin Didacta.

En ningún caso y pongo enfasis en esto, he puesto en duda la calidad del Jardin Didacta en sus servicios como tal, de hecho personalmente creo que es uno de los mejores jardines presentes en la ciudad de antofagasta . Estan canalizando mal la responsabilidad en el articulo, los desarrolladores no son ni nombrados y al parecer ellos son los que venden un servicio vulnerable.

Esto es lo que más me molestó, debido a que en repetidas ocasiones le aclaré , que no es lo mismo  "han sido vulnerados", a decir "son vulnerables", si bien no sale entre comillas, me parece correcto aclararlo y mostrar como fue expresado esto en la entrevista. (imagen de mas abajo)







Aquí es donde comento sobre secureless.org en la entrevista (facebook):

Claramente expreso Vulnerables, no vulnerados hay una Gran diferencia no creen?



Finalmente algo que de verdad me tiene bastante desconcertado es lo siguiente:

  Insisto porqué responsabilizar al jardin  por un servicio por el cuales ellos estan pagando a una empresa externa, el cual debiera ser seguro y de calidad , seamos reales, no tienen como saber ellos como jardin que esto sucedia antes de ser expuesto, y dificilmente creo que los niños hayan sido realmente expuestos a un peligro real, solo se menciono las cosas que podian ser posible con este fallo, no que hayan sucedido.

Y la responsabilidad que podrian tener los desarrolladores , la empresa que vendio su servicio ?? ..  Nada dicen sobre ellos en la publicacion del diario, y en el blog estan nombrados y en la entrevista igual se les comentó de ellos.

Saludos, aveces se distorsionan las cosas, claro que siempre ha sucedido no?

@shinee_

Caso #2 [Webcams en Jardines] Tecnología para Padres v/s Seguridad

Bueno en el post anterior , tocamos el caso del 'Jardin didacta'  en la cual podiamos acceder a las webcams instaladas dentro del jardin sin ningun tipo de autentificacion. El desarrollador del sitio es la empresa Antigravitacional .

Bueno en el sitio de dicha empresa, encontre otro sitio desarrollado por ellos que tenia como cliente un Jardin.

Y como era de esperar, presentaba la misma FALLA.

Desarrollemos:

[+]Contexto Caso[+]

Jardin _Mis pequeños talentos  #Antofagasta  

5 webcams Online
Sitio Principal -> http://www.mispequenostalentos.cl/
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

-> Ingresamos al sitio Principal del jardin :

-> Abajo (Color morado) esta el link a las camras online, e ingresamos:

-> Para ingresar a ver las camaras web ,que estan en cada sala de los niños, necesitamos un usuario y contraseña, hasta el momento todo bien no?; pero  ¿Y Qué es esto?

Camara1

Camara2

Camara3

Camara4

Camara5

Listo, sin necesidad de un usuario, ni la clave podemos visualizar las camaras web presentes dentro del jardin
en cada sala.

El mismo caso del JardinDidacta

Al parecer los desarolladores Antigravitacional , ofrecen este servicio 

Saludos.