Nuevamente revisando este dominio puede encontrar varias cosas interesantes ya que pense que debia estar completamente seguro o por lo menos un 80 % pero no fue asi ya que las veces anteriores era llegar y vulnerar el sitio como lo publique en unos por anteriores de FONASA. Bueno la cual me pude dar cuenta de cosas que no debieran estar en el sitio y mucho menos de tan baja seguridad pensando que es uno de los sistemas que manejan gran cantidad de usuarios chilenos con informacion personal la cual se puede hacer publica cnn los bug encontrados.
En este post solamente voy a nombrar los bug encontrados ya que podrian quedar los usuarios mas expuestos a el robo de informacion.
Para empezar uno de los Bug que encontre fue:
1 - Un Bypass de usuario la cual me permite crear BD y me muestra la que ya esta creada.
2 - Un SQLi en variables la cual pude obtener la DB y sus respectivas Tablas.
Version: Mysql 5
Base de Datos: Auge
Etc...
---------------------------------------------------------------------------------------------------------------
Esto es para mostrar que no hay buena seguridad en chile y lo peor que no se preocupan de eso que es lo mas importante para el cliente (usuario). Esperemos que se solucione esto pronto.
y los POC's ? screenshots ?
ResponderEliminarAhi puse unas imagenes de los Bug
ResponderEliminar