Casi todo el mundo que está en el mundo de la seguridad ya sabe que un Cross-Site-Scripting (XSS) es la inclusión de código malicioso, ya sea HTML, javascript o cualquier otro en una página por la falta de validación de datos del usuario en el componente del servidor.
Una vez -en uno de esos viernes que solíamos ir al cine Yago y yo-, me hablaba de los Cross-Site "de libro". Estos son, esos que se encuentran casi sin necesidad de probarlos. En los que navegando por una determinada página web ves claramente que ahí está, y que para explotarlo solo has de probar.
Y ahí estaba yo, viendo la página web de una Sociedad General, seguramente la más famosa de las sociedades generales de España, con un precioso buscador sobre fondo rojo. Introduje un texto, ya no recuerdo si realmente encontré lo que buscaba o no, pero un rayo me atravesó y observé que en el propio resultado de la búsqueda aparecían los caracteres que yo había tecleado...
Si, ocurrió. Saltó la ventana saludándome y provocándome una sonrisa de medio lado. Nada espectacular, nada peligroso. Solo anecdótico y simpático: un Cross-Site de libro.
Una vez -en uno de esos viernes que solíamos ir al cine Yago y yo-, me hablaba de los Cross-Site "de libro". Estos son, esos que se encuentran casi sin necesidad de probarlos. En los que navegando por una determinada página web ves claramente que ahí está, y que para explotarlo solo has de probar.
Y ahí estaba yo, viendo la página web de una Sociedad General, seguramente la más famosa de las sociedades generales de España, con un precioso buscador sobre fondo rojo. Introduje un texto, ya no recuerdo si realmente encontré lo que buscaba o no, pero un rayo me atravesó y observé que en el propio resultado de la búsqueda aparecían los caracteres que yo había tecleado...
10 resultados encontrados con el término "ar"¡¡Vaya!! ¿Qué ocurrirá si en vez de "ar" probamos con la cadena: "<script>alert("hola")</script>"? La más famosa de las cadenas en el más famoso de los formularios de entrada de la más famosa sociedad general?
Si, ocurrió. Saltó la ventana saludándome y provocándome una sonrisa de medio lado. Nada espectacular, nada peligroso. Solo anecdótico y simpático: un Cross-Site de libro.
24 comments :
@Aluziner: gracias por el apunte, pero nos gustaría no mencionar el sitio concreto, (valga para futuros comentarios si los hubierea).
Siento haber censurado el comentario.
jajaja lo acabo de probar. Muy bueno
Sobresaliente Alex. Curiosamente uno de los responsables de seguridad de allí hace un año aproximadamente me dijo que tenían un WAF (Web Application Firewall) y que no necesitaban añadir nada. Mañana llamaré de nuevo a dicho responsable :-D
Me encanta xDD
Lorenzo Martínez, dejanos un par de días para hecharle un vistazo...
Salu2!!
@ r0xSoFT
No te preocupes, si con lo lentos que van en ese sitio, tienes todo el tiempo del mundo para juguetear buscando si hay más cositas por allí :D
La verdad, me extrañaría más que no fuesen vulnerables. Parece mentira que con lo famosos que son los XSS, páginas de grandes empresas y sociedades sigan igual.
Ayer mismo vi que en la web de cierto periódico de nuestro país tienen otro parecido.
Un saludo y suerte con el blog, está muy pero q muy interesante!
Como dice Alejandro, más vale no mencionar el sitio, la cosa está como para que te entruyen por probar una mísera comilla (o en este caso un mísero tag)...
No es muy dificil encontrar dicha Sociedad...
Muy buena,jejeje. Algun dia espabilaran.
jijijiji
@Admin, no hay problema, una disculpa por el comentario, tienes razón no pensé que podia ser un problema para ustedes.
Ah pues si, he comprobado el bonito XSS jajaja, yo creo que lo tienen porque ni dios quiere entrar a esa página xDDD.
A dia de hoy todavía no lo han corregido
A dia de hoy tampoco lo han corregido ... Por Dios es terrible.
Sigue sin corregirse...
A dia de hoy...y después de más de nueve meses lo acabo de probar y sigue igual !!!
Por cierto felicidades por la web, un trabajo excelente.
A día de hoy siguen igual, no les debe de preocupar mucho, mientras sigan con su negocio ;-)
Sé que la entrada es vieja, pero la he revisitado en base a una entrada actual de otro blog y... soy yo, ¿o la solución que han tomado es bloquear la caja de búsqueda? Jejeje.
Y bloqueada (o desactivada) sigue esa caja de búsqueda casi un año más tarde.
Parece que han creado un buscador adicional en java para poder ofrecer esa función de búsqueda.
A dia de hoy todavía no lo han corregido
@Admin, no hay problema, una disculpa por el comentario, tienes razón no pensé que podia ser un problema para ustedes.
Ah pues si, he comprobado el bonito XSS jajaja, yo creo que lo tienen porque ni dios quiere entrar a esa página xDDD.
Como dice Alejandro, más vale no mencionar el sitio, la cosa está como para que te entruyen por probar una mísera comilla (o en este caso un mísero tag)...
Publicar un comentario