CaixaPenedes parchea su Banca Online

#######################################
CaixaPenedes Pachea su Banca Online
url afectada: http://www.caixapenedes.com
Articulo original:http://lostmon.blogspot.com/
2008/11/caixapenedes-pachea-su-banca-online.html
#######################################

La web de Caixapenedes bajo sus diferentes dominios,
se vio afectada por una serie de errores de saludación
de tipo Cross-site scripting.

Las vulnerabilidades fueron reportadas en dos fases:

En la primera se reporto, lo que se considero mas grave,
que en si era la posibilidad de poder realizar transacciones
como transferencias, sin necesidad de la tarjeta llave,
aun sin estar activada esta,el bug también funcionaba.

Esta vulnerabilidad fue descubierta por FalconDeOro y estudiada
por el y por mi hasta descubrir el como y donde funcionaba.

En la segunda fase fueron localizadas por mi unas veinte
vulnerabilidades o vectores de ataque, en la parte externa
de la web;es decir en la parte no autentificada de la web;
pero bajo el protocolo seguro https.

Las vulnerabilidades eran de tipo Cross-Site Scripting (XSS).
Dichos agujeros ,fueron reportados al equipo de seguridad logica
de caixapenedes, y al servicio de atencion al cliente,
telefonicamente y vía email, respectivamente.

caixapenedes

Descubiertas en julio del 2008
contacto inicial el 13 agosto del 2008
Pacheo completo aproximado el 20 de septiembre del 2008
hecho publico el 10 de noviembre del 2008

el primer bug no puedo decir exactamente cuando fue descubierto y
cuando fue reportado , pues todo fue telefonicamente y no tengo ninguna
fecha de referencia , pero si que es anterior a los segundos
Y que una convención de ambos podría haber sido aprovechada
por los Phishers, aunque durante el periodo de tiempo ,
que pudieron durar estas ediciones de seguridad ningún usuario/cliente
pudo verse afectado ya que todo fue reportado con la mayor discreción
posible,por ambas partes.

No se da ninguna prueba de cocepto por motivos evidentes.

Aun queda un agujero XSS pero creo que con casi tres meses de tiempo
debía haber sido tiempo suficiente para ser parcheado.

########################### €nd ################################

Thnx to estrella to be my ligth
Thnx To FalconDeOro for his support
Thnx To Imydes From http://www.imydes.com

atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)

Gracias Lostmon :-P

About these ads

0 Responses to “CaixaPenedes parchea su Banca Online”



  1. Dejar un comentario

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Blog Stats

  • 600,173 visitas

RSS

Feed
noviembre 2008
L M X J V S D
« oct   dic »
 12
3456789
10111213141516
17181920212223
24252627282930

Usuarios online:

counter

Otras URL’s

TiraEcol

Tira Ecol
BlogESfera Directorio de Blogs Hispanos - Agrega tu Blog
Google PageRank 
		Checker

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

A %d blogueros les gusta esto: