04 febrero 2009

Un futuro hackeo memorable. De libro.

Casi todo el mundo que está en el mundo de la seguridad ya sabe que un Cross-Site-Scripting (XSS) es la inclusión de código malicioso, ya sea HTML, javascript o cualquier otro en una página por la falta de validación de datos del usuario en el componente del servidor.

Una vez -en uno de esos viernes que solíamos ir al cine Yago y yo-, me hablaba de los Cross-Site "de libro". Estos son, esos que se encuentran casi sin necesidad de probarlos. En los que navegando por una determinada página web ves claramente que ahí está, y que para explotarlo solo has de probar.

Y ahí estaba yo, viendo la página web de una Sociedad General, seguramente la más famosa de las sociedades generales de España, con un precioso buscador sobre fondo rojo. Introduje un texto, ya no recuerdo si realmente encontré lo que buscaba o no, pero un rayo me atravesó y observé que en el propio resultado de la búsqueda aparecían los caracteres que yo había tecleado...
10 resultados encontrados con el término "ar"
¡¡Vaya!! ¿Qué ocurrirá si en vez de "ar" probamos con la cadena: "<script>alert("hola")</script>"? La más famosa de las cadenas en el más famoso de los formularios de entrada de la más famosa sociedad general?

Si, ocurrió. Saltó la ventana saludándome y provocándome una sonrisa de medio lado. Nada espectacular, nada peligroso. Solo anecdótico y simpático: un Cross-Site de libro.



24 comments :

Aluziner dijo...
Este comentario ha sido eliminado por un administrador del blog.
Alejandro Ramos dijo...

@Aluziner: gracias por el apunte, pero nos gustaría no mencionar el sitio concreto, (valga para futuros comentarios si los hubierea).

Siento haber censurado el comentario.

Edgard dijo...

jajaja lo acabo de probar. Muy bueno

Lorenzo Martínez dijo...

Sobresaliente Alex. Curiosamente uno de los responsables de seguridad de allí hace un año aproximadamente me dijo que tenían un WAF (Web Application Firewall) y que no necesitaban añadir nada. Mañana llamaré de nuevo a dicho responsable :-D

Anónimo dijo...

Me encanta xDD


Lorenzo Martínez, dejanos un par de días para hecharle un vistazo...


Salu2!!

Lorenzo Martínez dijo...

@ r0xSoFT

No te preocupes, si con lo lentos que van en ese sitio, tienes todo el tiempo del mundo para juguetear buscando si hay más cositas por allí :D

Anónimo dijo...

La verdad, me extrañaría más que no fuesen vulnerables. Parece mentira que con lo famosos que son los XSS, páginas de grandes empresas y sociedades sigan igual.

Ayer mismo vi que en la web de cierto periódico de nuestro país tienen otro parecido.

Un saludo y suerte con el blog, está muy pero q muy interesante!

Anónimo dijo...

Como dice Alejandro, más vale no mencionar el sitio, la cosa está como para que te entruyen por probar una mísera comilla (o en este caso un mísero tag)...

Anónimo dijo...

No es muy dificil encontrar dicha Sociedad...

Anónimo dijo...

Muy buena,jejeje. Algun dia espabilaran.

Emi dijo...

jijijiji

Aluziner dijo...

@Admin, no hay problema, una disculpa por el comentario, tienes razón no pensé que podia ser un problema para ustedes.

Asfasfos dijo...

Ah pues si, he comprobado el bonito XSS jajaja, yo creo que lo tienen porque ni dios quiere entrar a esa página xDDD.

Anónimo dijo...

A dia de hoy todavía no lo han corregido

Anónimo dijo...

A dia de hoy tampoco lo han corregido ... Por Dios es terrible.

Ayak dijo...

Sigue sin corregirse...

Anónimo dijo...

A dia de hoy...y después de más de nueve meses lo acabo de probar y sigue igual !!!
Por cierto felicidades por la web, un trabajo excelente.

Anónimo dijo...

A día de hoy siguen igual, no les debe de preocupar mucho, mientras sigan con su negocio ;-)

Adrián dijo...

Sé que la entrada es vieja, pero la he revisitado en base a una entrada actual de otro blog y... soy yo, ¿o la solución que han tomado es bloquear la caja de búsqueda? Jejeje.

Anónimo dijo...

Y bloqueada (o desactivada) sigue esa caja de búsqueda casi un año más tarde.

Parece que han creado un buscador adicional en java para poder ofrecer esa función de búsqueda.

Anonymous dijo...

A dia de hoy todavía no lo han corregido

Aluziner dijo...

@Admin, no hay problema, una disculpa por el comentario, tienes razón no pensé que podia ser un problema para ustedes.

Asfasfos dijo...

Ah pues si, he comprobado el bonito XSS jajaja, yo creo que lo tienen porque ni dios quiere entrar a esa página xDDD.

tayoken dijo...

Como dice Alejandro, más vale no mencionar el sitio, la cosa está como para que te entruyen por probar una mísera comilla (o en este caso un mísero tag)...