HTML Injection y URL Redirection en sitio web del Banco Santander

 Dos nuevas vulnerabilidades se han encontrado en el sitio web del Banco Santander. El atacante podría realizar una redirección arbitraria del usuario a un sitio web externo. Si bien está funcionando el filtro para evitar ataques Cross Site Scripting, no está escapando ni filtrando todos los tags html.

La vulnerabilidad se encuentra en la URL https://www.santander.cl/transa/errores/PagError.asp la cual necesita seis variables: titerror, codigo, boton, tema, msgerror y url. Con el valor de la variable “url”, el sistema genera un boton que al momento de hacer click el usuario es redireccionado a dicha URL, pudiendo modificar el valor de forma arbitraria.

Por ejemplo, si el valor de la variable “url” es http://www.santander.cl, genera el siguiente formulario

Modificando el valor por ejemplo a http://www.google.com, nos genera el siguiente formulario

El usuario cuando pinche el boton “salir”, será redireccionado a un sitio externo del banco.

Tambien es posible realizar inyección de código HTML arbitrario mediante las variables “url” y “boton”.

Fuente:http://blog.secureless.org/html-injection/html-injection-y-url-redirection-en-sitio-web-del-banco-santander/

 RouterPWN es una aplicación web que te permite explotar vulnerabilidades en ruteadores y otros dispositivos desde tu celular. Se puede acceder desde la página www.routerpwn.com o desde la aplicación para Android.

Contiene actualmente 146 exploits que explotan vulnerabilidades como: evasión de autenticación, revelación de información y configuración, ejecución de comandos, cross site scripting, cross site request forgery, denegaciones de servicio, AtoC, etc.

También contiene 4 generadores de contraseñas entre los que destacan los generadores de claves inalámbricas de módems Thomson y Huawei.

Contiene exploits publicos y privados para las siguientes marcas: 2Wire, 3Com, Arris, Asmax, Belkin, Cisco, Comtrend, DD-Wrt, DLink, Fibrehome, Huawei, MiFi, Motorola, Netgear, Siemens, Thomson, TRENDnet, Ubiquiti, UTStarcom, Xavi y ZyXEL.

RouterPWN es un framework de explotación móvil, ya que permite, desde tu dispositivo móvil, configurar los exploits y lanzarlos a la dirección que gustes.

En GuadalajaraCON, Pedro Joaquín (hkm) nos mostrará los últimos avances en cuanto a la herramienta, algunos secretos y una función de detección automatizada de módems.

Muchos usuarios nos preguntan, “¿cómo puedo mantener mi cuenta de Twitter segura y privada?”. ¡Es una excelente pregunta!

Primero, debes saber que los intentos por “hackear” una cuenta de Twitter directamente son extremadamente raros. La mayoría de las cuentas comprometidas son el resultado directo de engaños de “Phishing”. Phishing es una forma de engañar a los usuarios enviándoles mensajes fraudulentos que buscan engañarlos para que revelen sus contraseñas. Este engaño puede venir en forma de un email falso, un archivo adjunto o una pantalla de inicio de sesión que estén diseñados para verse muy similares a tu página de inicio de Twitter.

También debes saber que Twitter nunca te envía correos que pidan tu contraseña o que descargues archivos. Nunca debes escribir tu contraseña en una pantalla web que no sea de Twitter, o una aplicación en la que confíes. Siempre puedes asegurarte de que estás en Twitter fijándote en la dirección Post completo …

Empresas se han visto obligadas a implementar soluciones para evitar el robo o la fuga de datos por el uso de smartphones, laptops y tabletas

PLAYA DEL CARMEN.- Si bien el uso de dispositivos móviles como herramientas de trabajo representa un aumento en la productividad y eficiencia de las empresas, también puede generar riesgos de seguridad informática que derivan en pérdidas económicas y daños en la reputación de una organización. Post completo …

Una supuesta foto de Justin Bieber bañándose sin ropa en el mar está siendo aprovechada por los ciberdelincuentes para estafar a los usuarios de la red social Pinterest.

La imagen es un gancho para engañar a los usuarios y hacer que hagan clic en un enlace en el que se intenta robar datos privados. Post completo …

Raúl Beltrán. La seguridad en internet no es para tomársela a broma. Con esa idea, la asociación jienense “EnRed 2.0” organiza hoy y mañana en la Universidad de Jaén las jornadas “Conecta con Jaén: Evento de Seguridad Informática”.

Según explica el presidente de la Asociación, Antonio Cruz, el objetivo es, a través de ponencias y talleres, concienciar a los empresarios y particulares de la importancia de utilizar medidas de seguridad cuando se pretende tener presencia en internet y dar un enfoque técnico sobre la materia a los estudiantes y profesionales de este sector. Post completo …

¿Cuánto vale saber quién será el próximo presidente de Estados Unidos, qué equipo de fútbol tiene más posibilidades de ganar la Liga de Campeones o cómo se siente realmente nuestro cónyuge?

Expertos señalan que los datos que circulan en internet, con la computación en nube, las redes sociales, los correos electrónicos, uso de celulares inteligentes o los sistemas de geolocalización, conforman una extensión de nuestro propio cerebro, de nuestra alma, y en su conjunto una inteligencia colectiva digital. Post completo …

Roberto Puyo habló con elcomercio.pe de la importancia de crear un cibercomando informático en el Perú

Roberto Puyo es un experto en seguridad tecnológica y gerente de la empresa Issa (Information Systems Scurity Association) que esta semana organiza el evento internacional “Cyber Security Government Perú 2012”, durante el cual se mostrarán los retos, amenazas y avances en materia de seguridad informática para protección de los gobiernos. Post completo …

Su tarjeta fue rechazada”, fue la señal de que algo andaba mal. Después de pasarla tres veces en la caja del supermercado, con una fila enorme detrás, no hubo respuesta. Mario A. sintió vergüenza, coraje e incertidumbre. “No puede ser posible”, pensó.

No sabía qué hacer, se había quedado sin tarjeta de crédito y no tenía efectivo para pagar. Sus problemas apenas empezaban; se enteraría más tarde de que alguien, en algún lugar, había robado su identidad. Post completo …