Menéame: comentarios [1018224]

#28 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

randomstirrer — Thu, 05 Aug 2010 10:54:54 +0000

que alguien saque las declaraciones de la renta de los politicos y las mande a wikileaks por favor...

» autor: randomstirrer

#27 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

mencabrona — Wed, 04 Aug 2010 22:22:30 +0000

#24 pues no... Quería decir a seguir invirtiendo y no seguid invirtiendo... como gusta en meneame el corregir...

» autor: mencabrona

#26 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

chencho — Wed, 04 Aug 2010 19:37:43 +0000

#3 date un paseo por google y busca información sobre 48bits, el autor del post Rubén Santamarta y luego duda. Si dudas, vuelve a mirar.

» autor: chencho

#25 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

PussyLover — Wed, 04 Aug 2010 19:36:41 +0000

Como siempre, la AEAT cubriéndose de gloria con estas cosas. No solo te hace bajar la seguridad al máximo del navegador on su certificado para la RENTA que encima esto. Un 0 para los palurdos que programan ahí.

» autor: PussyLover

#24 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

prejudice — Wed, 04 Aug 2010 19:15:08 +0000

#1 Pero a seguir invirtiendo en macetas y rotondas que el I+D no genera beneficios.
Supongo que querías decir seguid en imperativo y no seguir en infinitivo

» autor: prejudice

#23 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

--148619-- — Wed, 04 Aug 2010 18:38:37 +0000

#3 #5 ... no os olvideis que una URL de ese tipo siempre se puede enmascarar en un acortador de urls o con un redirect puesto en una web tipo:
laaeat.es/ con dominio resultón

» autor: --148619--

#22 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

jonolulu — Wed, 04 Aug 2010 17:33:32 +0000

#15 Tampoco te fíes mucho de la barra, porque con un onMouseOver se puede disfrazar

» autor: jonolulu

#21 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

aironman — Wed, 04 Aug 2010 17:16:57 +0000

simplemente patetico y creo que #19 y #17 tienen razon, es la realidad del sector informatico, por lo menos en madrid...

» autor: aironman

#20 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

Eversmann — Wed, 04 Aug 2010 17:08:40 +0000

Que miren los de bono, camps, barberá, roca, los de mallorca, los de la gurtel, los del palau... etc.

» autor: Eversmann

#19 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

--82961-- — Wed, 04 Aug 2010 16:51:58 +0000

#16 No lo entiendo, evitar el XSS es tan simple como enviar sólo información (usando json o xml por ejemplo). El SQL inyection cualquier ORM (todos los framework traen uno) o incluso las preprared statement (por si no quiere usar framework para una aplicación casera) que traen de serie los lenguajes lo evitan.

Lo que explica que haya esos fallos garrafales y a priori muy fáciles de evitar es que a los curritos finales (quienes realizan el trabajo) se les exprime hasta la última gota y tengan que hacer el trabajo para ayer y por cuatro duros (viene a ser lo que dice #17)

» autor: --82961--

#18 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

--132201-- — Wed, 04 Aug 2010 16:38:18 +0000

Que alguien utilice esto para conseguir los datos fiscales de los políticos corruptos. Por una parte se obtiene transparencia, por otra seguro que tras eso arreglan la vulnerabilidad en 10 minutos.

» autor: --132201--

#17 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

xavipuerto — Wed, 04 Aug 2010 16:10:55 +0000

pasa por sub-sub-sub-sub contratar algo en informatica

esa es la pura realidad

» autor: xavipuerto

#16 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

--127714-- — Wed, 04 Aug 2010 15:55:47 +0000

#6 No es tan increible que se cometan esos errores, están a la orden del día, XSS es ya el error más común en la web, seguido de cerca por el SQL injection... Si se sigue fichando a diseñadores para hacer el trabajo de programadores, pasa lo que pasa, si no se les da formación en seguridad, pasa lo que pasa.

» autor: --127714--

#15 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

--127714-- — Wed, 04 Aug 2010 15:48:45 +0000

#3 Sí, siempre será menos peligroso que un XSS persistente, pero no deja de ser un megafallo para una web con datos tan delicados.

Y con lo de picar en un enlace ya sabes <a href="www.google.com">http://www.bing.com</a>; nadie mira el href (la barra de estado) sólo miran lo que pone en el link...

edit... tsk

» autor: --127714--

#14 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

guifre — Wed, 04 Aug 2010 15:47:01 +0000

#3 no siquiera haría falta pinchar un enlace, si el autor del blog hubiera puesto algo tipo <img src="código malicioso"/> o incluso con una petición ajax... lo hubieras ejecutado sólo con visitar su blog sin darte cuenta... No es para tomárselo en broma.

» autor: guifre

#13 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

--58118-- — Wed, 04 Aug 2010 15:42:29 +0000

#2 El "PLAN E" no fue aprobado por ningún ayuntamiento.

» autor: --58118--

#12 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

Peka — Wed, 04 Aug 2010 15:14:32 +0000

El fallo no afecta a las 4 haciendas vascas.

» autor: Peka

#11 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

mencabrona — Wed, 04 Aug 2010 13:01:09 +0000

#2 ¡¿El ayuntamiento!? En serío??? pensaba que era el mismisimo Rodriguez Zapatero el que iba con su furgoneta poniendo macetas...

Hay que saber leer los comentarios y a un buen entendedor pocas palabras le bastan.

» autor: mencabrona

#10 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

wendigo — Wed, 04 Aug 2010 12:53:32 +0000

#9 Me recuerda mis viejos tiempos brujuleando por foros sobre hacks y demas ... donde este tipo de enlaces son la norma... demuestra un fallo, pero lógicamente el enlace es erróneo, y solo alguien que sepa mucho del asunto sabrá encontrar el fallo del mismo... o como en este caso el XXXXXXXXX. amos que esta directamente censurado.

Saludos
PD ¿cual es la contraseña de admin? : *********

» autor: wendigo

#9 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

cocido — Wed, 04 Aug 2010 12:45:38 +0000

#8 ¿Qué link? ¿El que tiene XXXXXXXXXXXXXXXXXXXXXXXXXXX tapando la mitad?

» autor: cocido

#8 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

--51656-- — Wed, 04 Aug 2010 12:44:46 +0000

Bueno, yo acabo de probar el link con el error xss y no me ejecuta el script.. Quizá lo hayan corregido..

» autor: --51656--

#7 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

jonolulu — Wed, 04 Aug 2010 12:39:48 +0000

¿Y no ha habido denuncia a la Agencia de Protección de Datos? De hecho creo que tendría que actuar de oficio

» autor: jonolulu

#6 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

--1-- — Wed, 04 Aug 2010 12:36:53 +0000

#3

> Si el "asunto" pasa porque la víctima tenga que pinchar en un enlace creado por nosotros...

En eso se basa el XSS, y la inmensa mayoría de los ataques requieren alguna acción del usuario, muchas de ellas hacer un clic en el web, o al attachment de un email.

Si realmente se pueden obtener datos fiscales con XSS es muy grave, si además se puede modificar, es gravísimo, casi increíble que se cometan esos errores (pero no lo sé).

Leí el artículo, vi que pone el model de url para probar el XSS pero no lo pone completo, me parece una muy buena actitud (aunque obviamente hace que no podamos comprobarlo )

» autor: --1--

#5 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

--51656-- — Wed, 04 Aug 2010 12:34:42 +0000

#3 El fallo esta en la ejecucion del codigo javascript que se inyecta en la url de la AEAT.
aeat.es/XXXXXXXXXXXXXXXXXXXXXXXXXXX=javascript:{var c0d= '<html><body><object id='ab' classid='CLSID:B785FA3C-1DE9-4D20-8396-613C486FE95E'></object><script>function xplit(){ab.GRABABI('c:\\AEAT\\RENTA2009\\irpf2009_false.jar','base64','ADFADFAFAFAFAFAFA');}</script><a href='javascript:xplit();'>exploit</a></body></html>';document.write(c0d);}

Te asombrarías de saber la cantidad de gente que pincha en los enlaces de un email sin tener ni idea de a donde le lleva o los datos que están enviando. También se podría conseguir lo mismo mediante script window.location.href = 'myurlxss';
Impresionante que lleven un mes sin arreglar esto..

» autor: --51656--

#4 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

cocido — Wed, 04 Aug 2010 12:32:09 +0000

#3 Una vulnerabilidad XSS es una vulnerabilidad XSS. Es irrelevante el hecho de que "alguien" tenga que hacer clic en un enlace maligno. Si tú como desarrollador haces una web que permita el uso de este tipo de enlaces, es culpa tuya, no del que hace clic en esos enlaces.

Y respecto a la otra cosa que comentas, efectivamente el autor no demuestra cómo lo hace, pero si echas un vistazo al resto del blog, verás que tiene una mínima reputación como para no dudar de lo que está afirmando.

» autor: cocido

#3 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

sam2001 — Wed, 04 Aug 2010 12:15:07 +0000

No entiendo dónde está el fallo al margen de que según el artículo no se demuestra en ningún momento el poder acceder a datos fiscales en la web de la AEAT, de hecho el mismo autor dice: "El escenario del ataque sería aquel donde la víctima pincha, por el medio que sea, un enlace especialmente creado. Una explotación exitosa acarrearía la posibilidad de que el atacante obtuviera acceso a los datos fiscales, facturas u otros ficheros de la víctima, pudiera modificarlos e incluso ejecutar código."

Si el "asunto" pasa porque la víctima tenga que pinchar en un enlace creado por nosotros...

» autor: sam2001

#2 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

--198379-- — Wed, 04 Aug 2010 12:13:14 +0000

[Usuario deshabilitado]

» autor: --198379--

#1 Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

mencabrona — Wed, 04 Aug 2010 12:10:23 +0000

Pero a seguir invirtiendo en macetas y rotondas que el I+D no genera beneficios.

» autor: mencabrona