15 nov 2011

AFIP no valida apropiadamente las Cookies de sus aplicaciones

AFIP (Administración Federal de Ingresos Públicos) de Argentina ofrece una serie de servicios web al contribuyente pero esto que paso a relatar a continuación no es la primera vez que sucede, dando la posibilidad de encontrar vulnerabilidades o información publicada y disponible en su sitio web.

Nota: las vulnerabilidades descriptas se informaron a AFIP y a ArCERT el pasado 6 de noviembre habiendo recibido confirmación de esta última entidad pero sin respuesta por parte del ente recaudador, motivo por el cual publico este post.

La primera vulnerabilidad es un "inocente" Information Disclosure que permite conocer el sistema operativo y servidor web utilizado por la entidad:

La segunda corresponde a una vulnerabilidad importante de autenticación de usuarios a través de la incorrecta validación de cookies.

Suponiendo que un usuario ya se haya validado y haya cerrado su sesión, la misma permanece activa, dando posibilidad de que un tercero acceda a su cuenta sin ingresar los datos de autenticación.

En cambio, sí funciona la validación de tiempo para hacer caducar la sesión a los 5 minutos de no registrar actividad.

Este escenario es válido para todos aquellos usuarios que utilizan el sistema de AFIP desde cibercafes, bares o desde la misma entidad, que ofrece computadoras a sus afiliados, dando un margen de 5 minutos para ingresar a cuentas ajenas.

No brindaré mayor detalle para no afectar a los contribuyentes y dar lugar a que AFIP solucione el problema.

Cristian de la Redacción de Segu-Info

No hay comentarios.:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!