Como muchos deben saber la Empresa E-sign es a representante de Verisign en chile, esta empresa dentro de los variados servicio que ofrece es bastante conocida por ofrecer servicio de seguridad informatica, seguridad de la informacion, certificados digitales , nivel web, consultorias y mas.
En este caso se trata de un XSS dentro de su sitio, que ademas podriamos aprovechar su confianza al estar con SSL .
El xss se ubica en: https://www.e-sign.cl/Enrolamiento/FormularioEnrolamientoNS.php?IDP=CSC"'><script>alert(/XSS/)</script>
Ademas existe la posibilidad de insertar un iframe y con un poco de imaginacion e ingeria social podriamos encontrar una forma efectiva efectiva de explotarlo.
SS del XSS:
La gracia de este XSS, es abusar de la confianza que nos ofrece estar en presencia de un certificado, y la tranquilidad con la que una posible victima podria ser objeto de engaño.
Finalmente al generar el erro, nos emite además el full path con la ruta: D:\www\www\www.e-sign.cl\Enrolamiento\lib/xml/CSC
# En casa de herrero, cuchillo de palo.
IDs.secureless: #2311 #2312
Esto fue reportado a e-sign obteniendo una buena respuesta, pero jamás fue hecho el fix.
No hay comentarios:
Publicar un comentario