Bueno de un tiempo a esta parte me he dedicado a buscar vulnerabilidades en webs del gobierno chileno y sus derivados, la verdad es que falta bastante aun en cosa tanto como de seguridad, como de canalizar los reportes, muchas veces no hay un canal de comunicacion expedito y sin tener que rellenar tantos formularios con items obligatorios.
Lo que llama más la atención es que al momento de reportar distintas vulnerabilidades, algunas bastante importantes, estas no sean fixeadas ; en las cuales evidentemente hay acceso a la db haciendo consultas mediante SQLi .
En este caso se trata de un Cross-site scripting en el formulario de atencion de el ministerio de transporte
podemos visualizarlo en el siguiente link.
Prueba concepto
Imagen del xss:
Saludos.
No hay comentarios:
Publicar un comentario