Falhas em site do Sistema-S podem iludir usuário

Da Redação
06/10/2021

Falhas no site do Senac do Rio Grande do Sul estiveram colocando em risco a segurança de usuários que fazem acesso diariamente ao site: muitas páginas permitiam XSS (cross site scripting), detalhou para a entidade o pesquisador Jonathan Fonseca em relatório enviado dia 30 de junho. Segundo o pesquisador, era possível injetar scripts maliciosos através de várias URLs, executando o redirecionamento do usuário para outra página, embora continuando no mesmo domínio. Além disso, foi localizada uma falha IDOR no sistema de consulta acessado pelos alunos, permitindo que alguém faça a leitura não autorizada dos dados de muitos alunos.

Esse tipo de vetor que é o XSS, explica o pesquisador, afeta apenas o próprio usuário, “mas pode também ser explorado numa execução de script no navegador de administradores quando estes visualizam o endereço, podendo assim haver roubo de contas, sequestro de sessão e outros tipos de ataques”.

Veja isso
Falhas do Detran-RS exibiram veículos, proprietários e motoristas
Falhas expõem 90.800 sites do executivo, legislativo e judiciário

Segundo o pesquisador, a correção recomendada está em “filtrar campos de URL para permitir a captação apenas dos caracteres permitidos (whitelist), ao invés da remoção de caracteres (blacklist) como ocorre com a bypass”.

A falha foi reportada no período de 30/06/2021 através da plataforma OpenBugBount. AVISO LEGAL. As publicações foram feitas com base na ISO/ISEC29147:2018, este documento fornece requisitos e recomendações para fornecedores sobre a divulgação de vulnerabilidades em produtos e serviços.

Compartilhar: