XSS no site hotsitefidelidade (do Banco Bradesco)

Vulnerabilidade que permite execução arbitrária de código. Algumas formas de ataque:

  • Coleta de dados de usuários logados
  • Exibição de mensagens para login (e coleta direta de usuário / senha através de keyloggers) – Com um pouco de esforço até os dados do cartão podem ser extraídos
  • Exibição de produtos falsos em preços extraordinários (ou até como brindes) para incentivar a inserção de dados (uma vez que o domínio é do Bradesco o usuário terá mais incentivo para confiar)

Attack type / Tipo de Ataque: XSS
Affected URLs / URLs Afetadas: https://www.hotsitefidelidade.com.br/visamaster/
Risk / Risco: High / Alto
Complexity / Complexidade: Easy to reproduce / Fácil de reproduzir

Contact for more info.

Sites da B2W – User enumeration

Há uma vulnerabilidade no site que permite descobrir o login (email) de alguns usuários. Isso pode ser utilizado para SPAM (cadastrando-os em uma base de terceiros) ou até mesmo para tentativas de roubo de dados (bruteforce no login, por exemplo).

Problema confirmado em todos os sites do grupo B2W:

http://www.americanas.com.br
http://www.shoptime.com.br
http://www.submarino.com.br
http://www.soubarato.com.br

Attack type / Tipo de Ataque: Enumeration / Forced Browsing
Affected URLs / URLs Afetadas: http://www.americanas.com.br http://www.shoptime.com.br http://www.submarino.com.br http://www.soubarato.com.br
Risk / Risco: Low / Baixo
Complexity / Complexidade: Easy to reproduce / Fácil de reproduzir

Contact for more info.