Como verán, con el código HTML (<marquee>"Hacked by B1nary0"</marquee>) pude inyectar una marquesina pero sólo de forma local, de igual forma ya se inyectó en el código fuente y el explorador llegó a interpretarlo. Pero este no es el problema, sabemos que la página web es vulnerable a XSS, podemos hacer un secuestro de sesión o sino miremos el siguiente ejemplo:
- La víctima tiene un blog llamado http://blogdelavictima.com.
- El blog de la víctima usa cookies, por lo tanto, puede ser que la cuenta de administrador del blog de la víctima está activa.
- Cuando la víctima deja un comentario en el blog, se realizaría una petición así:
“http://blogdelavictima.com/comentario.php?nickname=administrador&comentario=comentario”
Si se le envía este URL con una trampita:
http://vulnerable.com/index.html#name=”) y veremos que realmente el script se aplica con éxito.
Ahora, si usamos los servicios ‘URL Shorteners’ con el script XSS… podemos engañar a muchas personas camuflando la real página y la real intención. Estos scripts no son detectados por las páginas que dan este tipo de servicios (algo realmente preocupante) y no hacen nada para evitarlo. Supongamos que un usuario con malas intenciones realice el primer caso que hemos hablado y utilice esos acortadores, podrá realizar el engaño usando ingeniería social sin dificultades y con éxito total.
Mucho cuidado para este tipo de peligros, aconsejo que si tengan que abrir un link reducido, usarlo en otro navegador, es decir, si usar Internet Explorer, copia el link y cópialo en una ventana nueva de Mozilla Firefox, Google Chrome o cualquier otro. Para irme les daré 2 link acortados usados anteriormente en SeguridadBlanca.org, del canal 5 y de Tuentrada.com, no son defaces, son las mismas páginas con un poco de javascript, modificadas localmente:
24horas.com.pe: http://tinyurl.com/2g4hbz8
Tuentrada.com.pe: http://goo.gl/Q0gN
Espero que les haya gustado y tomen las precauciones del caso.
Fuente:
CHOLOHACK
1 comentario:
Bonito blog! y muy interesante!!
Un beso
Publicar un comentario