Falhas em site do Sistema-S podem iludir usuário

Da Redação
06/10/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Falhas no site do Senac do Rio Grande do Sul estiveram colocando em risco a segurança de usuários que fazem acesso diariamente ao site: muitas páginas permitiam XSS (cross site scripting), detalhou para a entidade o pesquisador Jonathan Fonseca em relatório enviado dia 30 de junho. Segundo o pesquisador, era possível injetar scripts maliciosos através de várias URLs, executando o redirecionamento do usuário para outra página, embora continuando no mesmo domínio. Além disso, foi localizada uma falha IDOR no sistema de consulta acessado pelos alunos, permitindo que alguém faça a leitura não autorizada dos dados de muitos alunos.

Esse tipo de vetor que é o XSS, explica o pesquisador, afeta apenas o próprio usuário, “mas pode também ser explorado numa execução de script no navegador de administradores quando estes visualizam o endereço, podendo assim haver roubo de contas, sequestro de sessão e outros tipos de ataques”.

Veja isso
Falhas do Detran-RS exibiram veículos, proprietários e motoristas
Falhas expõem 90.800 sites do executivo, legislativo e judiciário

Segundo o pesquisador, a correção recomendada está em “filtrar campos de URL para permitir a captação apenas dos caracteres permitidos (whitelist), ao invés da remoção de caracteres (blacklist) como ocorre com a bypass”.

A falha foi reportada no período de 30/06/2021 através da plataforma OpenBugBount. AVISO LEGAL. As publicações foram feitas com base na ISO/ISEC29147:2018, este documento fornece requisitos e recomendações para fornecedores sobre a divulgação de vulnerabilidades em produtos e serviços.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest