Navegando en Internet y probando vulnerabilidades, me encontré el sitio: http://www.puebla.gob.mx
Muy bonito y funcional. Pero cuenta con graves problemas de seguridad XSS (Cross Site Scripting).
URL's Vulnerables encontradas:
https://portalsfa.sfapuebla.gob.mx/srl/Impuestos/Derechos/Lugares.jsp?desc_servicio=%3Cscript%3Ealert(%27alerta%20de%20seguridad%27);%3C/script%3E%3Cplaintext%3E
http://www.puebla.gob.mx/puebla/complementos/contenido/plantilla.jsp?idmenu=17&pagina=contenido.jsp&id=%3Cscript%3Ealert(%27alerta%27);%3C/script%3E%3Cscript%3Ealert(%27alerta%20de%20seguridad%27);%3C/script%3E
El problema es grave debido a que no se validan las urls de navegación.
Veamos el ejemplo:
Observen que la página muestra el candado de seguridad. Sin embargo hay una grave vulnerabilidad de XSS presente.Esto se corrije filtrando los datos de la variable Lugares.jsp?desc_servicio=.
Veamos otro ejemplo del XSS en este sitio:
En esta imagen podemos ver que se puede ingresar una cadena específica para afectar al sitio.
No hay comentarios.:
Publicar un comentario
Déjanos tu comentario, nos permitirá mejorar.
¿Qué opinas de este tema?
¿Tienes alguna duda o sugerencia?
¿Te parece adecuado y completo este tema?
¿Falta información? ¿Cual?