Vulnerabilidad XSS en simce.cl

Estado: Reparado (ultima revisión 26/06/2020)
Informada: Si, a CSIRT de gobierno (26/06/2020)

En la Agencia de Calidad de Educación, se están publicado en el sitio web www.simce.cl la información con los resultados educativos de los establecimientos educacionales de 2019.

Esta página web tiene un error de tipo XSS (Cross-site scripting), este tipo de errores no daña el contenido del servidor pero se presta para engañar a los usuarios. Este en particular permite armar URL maliciosas que ejecutan códigos de javascript en el navegador del usuario.

Acá dos ejemplos de uso de dichas URL

https://www.simce.cl/comun/login/index.php?rbd=%3C%2Fscript%3E%3Cscript%3Ealert(100)%3B%3C%2Fscript%3E%3Cscript%3E

https://www.simce.cl/comun/login/index.php?rbd=%3C%2Fscript%3E%3Cscript%3E$(%20%22div%22%20).first().html(%22%3Ca%20href=%27https://liberumcode.org/test/%27%3E%3Ch1%20align=center%3E%3Cfont%20color=white%3EVer%20m%C3%A1s…%3C/h1%3E%3C/a%3E%22)%3B%3C%2Fscript%3E%3Cscript%3E

Manuel Cano Olivares

Entusiasta de la tecnología en pos de hacernos la vida mas fácil y entretenida 🙂

Últimas noticias

Content-Security-Policy

Actualizar cambios de horario verano/invierno en tu viejo Mac OS X

Certificados expirados en Web estatal

Servidor web obsoleto en web estatal, segunda parte

Vulnerabilidad XSS en simce.cl

Servidor web obsoleto en web estatal

Respuesta abierta al comunicad de CSIRT en relación a múltiples denuncias de clonación de tarjetas bancarias del 18 de mayo de 2019.

Collection #1: se filtran en Internet 773 millones de direcciones de emails, además de 21 millones de contraseñas

Esta puerta trasera «demoníacamente inteligente» se esconde en una pequeña porción de un chip de computadora

Whatsapp, una mirada desde la seguridad

Vulnerabilidad XSS en simce.cl

Deja una respuesta Cancelar la respuesta