quarta-feira, 1 de janeiro de 2014

XSS - Falha de Segurança no Portal das Finanças (portaldasfinancas.gov.pt)

Bem e para começar o ano aqui vai mais uma descoberta e desta vez, num site governamental que tem uma utilização constante por parte dos portugueses.

Sobre

Titulo: XSS não persistente no Portal das Finanças (Área de Registo)
Risco: Alto
Data da Descoberta: Dezembro
Código Injectado: "><script>alert(document.cookie)</script><input
Autor: Manuel Sousa (me)


Passos para Reproduzir

1. Abrir http://www.portaldasfinancas.gov.pt/pt/adesaoForm.action, com o Firefox ou Internet Explorer, para ver a alertbox em javascript.
2. Injectar o payload no identificador do formulario, neste caso usei o email (adesaoForm.action?email=/payload/): "><script>alert(document.cookie)</script><input
3. Ver o resultado final =]




Depois de comunicado ao departamento de segurança responsável pelo portal, eis a resposta.





Outras partes do portal vulneráveis:


Disclosure Timeline


Dezembro 25, 2013 ás 01:00 (WET Time): Vulnerabilidade Descoberta
Dezembro 29, 2013 ás 20:39 (WET Time): Bug Reportado
Dezembro 30, 2013 ás 17:43 (WET Time): Resposta por parte do Departamento de Informática
Vulnerabilidade corrigida: Ainda não
Share:

0 comentários:

Enviar um comentário