10 razones para ejecutar una prueba de penetración estándar en tu empresa en México

La seguridad de los sistemas de información es una preocupación creciente para las empresas mexicanas. Con el objetivo de proteger sus activos y garantizar la confidencialidad, integridad y disponibilidad de la información, cada vez más compañías están optando por realizar pruebas de penetración estándar. Estas pruebas, que buscan identificar las vulnerabilidades de los sistemas informáticos, permiten a las empresas tomar medidas para mejorar su seguridad y protegerse contra posibles amenazas.

Read more

Explotación de Vulnerabilidades en Chile: los casos más sonados

En Chile, la explotación de vulnerabilidades se ha convertido en uno de los principales problemas de seguridad cibernética del país. De acuerdo con el informe de la Cámara Chilena de Seguridad Cibernética (CCHSC), el número de ataques cibernéticos realizados en el país aumentó un 57% entre 2019 y 2020. Esta cifra nos impulsa a investigar los casos más sonados de explotación de vulnerabilidades en Chile.

Read more

Aprende cómo mejorar la prevención de intrusiones en México

En un mundo cada vez más digital, la prevención de intrusiones en México se ha vuelto un tema crítico para la seguridad de los usuarios y empresas. Cada vez existen mejores herramientas de ciberseguridad para proteger los dispositivos y prevenir ataques, sin embargo, los ciberataques continúan siendo una amenaza real para los usuarios de internet. 

Read more

¿Qué es el análisis de malware y por qué es importante?

El análisis de malware es una técnica utilizada para detectar, identificar y desactivar código malicioso en dispositivos y entornos informáticos. Se trata de una herramienta esencial para mantener la seguridad en un entorno digital y proteger los datos de los usuarios. Asu vez, ayuda a prevenir la propagación de virus, troyanos, spyware, ransomware y otras amenazas de seguridad cibernética. Esta técnica es especialmente útil para detectar malware desconocido, ya que los antivirus y otros productos de seguridad no siempre son capaces de detectarlo.

Read more

CVE-2019-9960: Descarga arbitraria de archivos en LimeSurvey

LimeSurvey es una aplicación de código abierto escrita en PHP, creada específicamente para realizar encuestas online. Es realmente útil para aquellos usuarios que carecen de conocimientos de programación, ayudándoles a generar un entorno para la recogida de respuestas sobre sus encuestas.

Hace un tiempo atrás, encontramos y reportamos una vulnerabilidad de descarga arbitraria de archivos en Limesurvey, la cual está registrada como CVE-2019-9960. Esta vulnerabilidad permite a un Administrador descargar archivos internos del servidor, a través de un Directory Traversal. La vulnerabilidad afecta a las versiones <= 3.15.9+190214.

Hasta la fecha, LimeSurvey cuenta con un total de 2.192 estrellas en GitHub.

Encontrando los bugs

Cuando un usuario exporta la estructura de una encuesta al formato *.lss, se genera un modal con el botón “Descargar archivo”.

modal estructura encuesta limesurvey

El mismo, al ser ejecutado, genera una petición GET a la siguiente URL:

/index.php/admin/export/sa/downloadZip/sZip/pb46rb245xhdv8aqtpebzpbpaw5pb8

LimeSurvey utiliza el formato Pretty URL, mediante el cual se realizan llamadas a diferentes acciones en los distintos controladores que componen la aplicación. La URL anterior se estructura de la siguiente manera.

 Por un lado, admin/export hace referencia al controlador:

./application/controllers/admin/export.php.sa

Read more

Backed by

Hackmetrix startup chile