Portada
Hace 13 años | Por cocido a blog.48bits.com
Publicado hace 13 años por cocido a blog.48bits.com
Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

Vulnerabilidad XSS en la web de la Agencia Tributaria permite robar datos fiscales

 blog.48bits.com

Existe un ActiveX que se debe instalar para realizar las declaraciones telemáticas de IVA que todas las sociedades tienen que presentar obligatoriamente a través de Internet. Tiene ciertas protecciones, pero gracias a una vulnerabilidad XSS en la web de la AEAT es posible modificar archivos del programa PADRE, o incluso leer datos fiscales y personales y enviarlos a cualquier servidor. La AEAT está avisada desde hace más de un mes pero la vulnerabilidad todavía sigue presente.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 31 28

Comentarios

mencabrona

Pero a seguir invirtiendo en macetas y rotondas que el I+D no genera beneficios.

V 22
K 172
D

#1 eso se lo exiges a tu ayuntamiento, que es quien dice que se invierta en "macetas y rotondas".

Hacienda no se dedica a "macetas y rotondas" a dia de hoy.

V 9
K 81
mencabrona

#2 ¡¿El ayuntamiento!? En serío??? pensaba que era el mismisimo Rodriguez Zapatero el que iba con su furgoneta poniendo macetas...

Hay que saber leer los comentarios y a un buen entendedor pocas palabras le bastan.

V 1
K 18
D

#2 El "PLAN E" no fue aprobado por ningún ayuntamiento.

V 1
K 15
prejudice

#1 Pero a seguir invirtiendo en macetas y rotondas que el I+D no genera beneficios.
Supongo que querías decir seguid en imperativo y no seguir en infinitivo

V 0
K 7
mencabrona

#24 pues no... Quería decir a seguir invirtiendo y no seguid invirtiendo... como gusta en meneame el corregir...

V 1
K 17
xavipuerto
editado

pasa por sub-sub-sub-sub contratar algo en informatica

esa es la pura realidad

V 6
K 54
D
editado

#16 No lo entiendo, evitar el XSS es tan simple como enviar sólo información (usando json o xml por ejemplo). El SQL inyection cualquier ORM (todos los framework traen uno) o incluso las preprared statement (por si no quiere usar framework para una aplicación casera) que traen de serie los lenguajes lo evitan.

Lo que explica que haya esos fallos garrafales y a priori muy fáciles de evitar es que a los curritos finales (quienes realizan el trabajo) se les exprime hasta la última gota y tengan que hacer el trabajo para ayer y por cuatro duros (viene a ser lo que dice #17)

V 2
K 19
aironman

simplemente patetico y creo que #19 y #17 tienen razon, es la realidad del sector informatico, por lo menos en madrid...

V 1
K 12
sam2001

No entiendo dónde está el fallo al margen de que según el artículo no se demuestra en ningún momento el poder acceder a datos fiscales en la web de la AEAT, de hecho el mismo autor dice: "El escenario del ataque sería aquel donde la víctima pincha, por el medio que sea, un enlace especialmente creado. Una explotación exitosa acarrearía la posibilidad de que el atacante obtuviera acceso a los datos fiscales, facturas u otros ficheros de la víctima, pudiera modificarlos e incluso ejecutar código."

Si el "asunto" pasa porque la víctima tenga que pinchar en un enlace creado por nosotros...

V 4
K 29
c
autor

#3 Una vulnerabilidad XSS es una vulnerabilidad XSS. Es irrelevante el hecho de que "alguien" tenga que hacer clic en un enlace maligno. Si tú como desarrollador haces una web que permita el uso de este tipo de enlaces, es culpa tuya, no del que hace clic en esos enlaces.

Y respecto a la otra cosa que comentas, efectivamente el autor no demuestra cómo lo hace, pero si echas un vistazo al resto del blog, verás que tiene una mínima reputación como para no dudar de lo que está afirmando.

V 7
K 64
D
editado

#3 El fallo esta en la ejecucion del codigo javascript que se inyecta en la url de la AEAT.
https://aeat.es/XXXXXXXXXXXXXXXXXXXXXXXXXXX=javascript:exploit';document.write(c0d);}

Te asombrarías de saber la cantidad de gente que pincha en los enlaces de un email sin tener ni idea de a donde le lleva o los datos que están enviando. También se podría conseguir lo mismo mediante script window.location.href = 'myurlxss';
Impresionante que lleven un mes sin arreglar esto..

V 10
K 96
D
editado

#3 #5 ... no os olvideis que una URL de ese tipo siempre se puede enmascarar en un acortador de urls o con un redirect puesto en una web tipo:
http://laaeat.es/ con dominio resultón

V 0
K 9
gallir

#3

> Si el "asunto" pasa porque la víctima tenga que pinchar en un enlace creado por nosotros...

En eso se basa el XSS, y la inmensa mayoría de los ataques requieren alguna acción del usuario, muchas de ellas hacer un clic en el web, o al attachment de un email.

Si realmente se pueden obtener datos fiscales con XSS es muy grave, si además se puede modificar, es gravísimo, casi increíble que se cometan esos errores (pero no lo sé).

Leí el artículo, vi que pone el model de url para probar el XSS pero no lo pone completo, me parece una muy buena actitud (aunque obviamente hace que no podamos comprobarlo )

V 8
K 83
D

#6 No es tan increible que se cometan esos errores, están a la orden del día, XSS es ya el error más común en la web, seguido de cerca por el SQL injection... Si se sigue fichando a diseñadores para hacer el trabajo de programadores, pasa lo que pasa, si no se les da formación en seguridad, pasa lo que pasa.

V 3
K 33
guifre

#3 no siquiera haría falta pinchar un enlace, si el autor del blog hubiera puesto algo tipo o incluso con una petición ajax... lo hubieras ejecutado sólo con visitar su blog sin darte cuenta... No es para tomárselo en broma.

V 1
K 19
D
editado

#3 Sí, siempre será menos peligroso que un XSS persistente, pero no deja de ser un megafallo para una web con datos tan delicados.

Y con lo de picar en un enlace ya sabes http://www.bing.com nadie mira el href (la barra de estado) sólo miran lo que pone en el link...

editado:
.. tsk

V 1
K 14
jonolulu

#15 Tampoco te fíes mucho de la barra, porque con un onMouseOver se puede disfrazar

V 0
K 12
chencho

#3 date un paseo por google y busca información sobre 48bits, el autor del post Rubén Santamarta y luego duda. Si dudas, vuelve a mirar.

V 0
K 6
jonolulu

¿Y no ha habido denuncia a la Agencia de Protección de Datos? De hecho creo que tendría que actuar de oficio

V 1
K 21
Peka

El fallo no afecta a las 4 haciendas vascas.

V 1
K 21
Querculus

Que alguien utilice esto para conseguir los datos fiscales de los políticos corruptos. Por una parte se obtiene transparencia, por otra seguro que tras eso arreglan la vulnerabilidad en 10 minutos.

V 1
K 12
Eversmann

Que miren los de bono, camps, barberá, roca, los de mallorca, los de la gurtel, los del palau... etc.

V 0
K 11
Candidatas
39
meneos
actualidad BYD está hablando con España para abrir una segunda fábrica en Europa
27
meneos
tecnología Tesla se dispara un 12% en Bolsa tras anunciar coches "más asequibles" para 2025
34
meneos
actualidad Las generaciones sin 'colchón' inmobiliario ni ahorros
40
meneos
actualidad Vídeo filtrado de un soldado de las IDF matando a un anciano sordo con las manos en alto
24
meneos
ocio Puto Mikel: ¿Por qué domesticamos a los animales, cariño o utilidad?
32
meneos
fÓsiles Este salmón prehistórico gigante tenía dientes como colmillos de jabalí
30
meneos
actualidad Grecia le dice muy claro a Zelenski que llame a otra puerta
36
meneos
actualidad La cúpula de Hacienda de Montoro recibió del PP un documento del caso Bárcenas: "Lo tenía el partido y nos lo ha facilitado"
30
meneos
ocio Concierto inédito de Joan Manuel Serrat (1975)
45
meneos
actualidad En Masterchef Australia un concursante decidió abandonar porque no se encontraba bien mentalmente
28
meneos
actualidad La gran beneficiada del paso atrás de Europa con el coche eléctrico es China
28
meneos
actualidad Frustran la misión de la Flotilla por la Libertad, Ada Colau se queda en tierra y da media vuelta
24
meneos
politica Patxi López responde al "deshumanizador": Feijóo se retrata como machista e insultador profesional, con una falta de humanidad enorme. Incluso ha hecho burla del amor"
r

que alguien saque las declaraciones de la renta de los politicos y las mande a wikileaks por favor...

V 0
K 11
PussyLover

Como siempre, la AEAT cubriéndose de gloria con estas cosas. No solo te hace bajar la seguridad al máximo del navegador on su certificado para la RENTA que encima esto. Un 0 para los palurdos que programan ahí.

V 0
K 6
D

Bueno, yo acabo de probar el link con el error xss y no me ejecuta el script.. Quizá lo hayan corregido..

V 1
K 4
c
autor

#8 ¿Qué link? ¿El que tiene XXXXXXXXXXXXXXXXXXXXXXXXXXX tapando la mitad? lol

V 2
K 22
w
editado

#9 Me recuerda mis viejos tiempos brujuleando por foros sobre hacks y demas ... donde este tipo de enlaces son la norma... demuestra un fallo, pero lógicamente el enlace es erróneo, y solo alguien que sepa mucho del asunto sabrá encontrar el fallo del mismo... o como en este caso el XXXXXXXXX. amos que esta directamente censurado.

Saludos
PD ¿cual es la contraseña de admin? : *********

V 1
K 18