Caja Granada ha parcheado su web

10 junio 2009 Publicado por cLimbo
#######################################
Caja Granada ha parcheado su web
URL: http://caja.caja-granada.es/
#######################################

La web de La entidad bancaria Caja granada bajo uno de sus diferentes dominios,se vio afectada por una serie
de errores de validacion de tipo Cross-site scripting (XSS) y de tipo (CSRF)

Estas vulnerabilidades fueron descubiertas y estudiadas por mi hasta descubrir las vulnerabilidades o vectores de ataque, en la parte externa de la web;es decir en la parte no autentificada de la web.

Las vulnerabilidades fueron reportados al equipo de seguridad logica de La entidad, y al servicio de atencion al cliente,
despues del intercambio de unos mails, ha quedado parcheada la parte mas critica de estas vulnerabilidades, la cual
permitia la inclusion de todo un sitio web bajo un frame sobre el dominio principal de la entidad.



Caja Granada vuelve a ser segura en esos puntos reportados.

Ningun cliente de Caja granada pudo verse afectado , ya que las comunicaciones se produjeron con absoluta discreccion por ambas partes.

En el caso de la inclusion del sitio, ademas de haber sido corregido , se nos muestra un mensage advirtiendonos de si de verdad hemos accedido a esa url atraves del dominio de Caja Granada.




No se da ninguna prueba de cocepto por motivos evidentes.

Referencias :

http://www.caja.caja-granada.es/

http://rootdev.blogspot.com/2009/01/la-banca-espaola-ante-el-phising.html

http://rootdev.blogspot.com/2009/02/entidades-bancarias-espanolas-ante-el.html

################## €nd ###################

Thnx to estrella to be my ligth
Thnx To FalconDeOro for his support
Thnx To Imydes From http://www.imydes.com
———

thz Lost ;-)