Stupid XSS en Bit.ly
En el día de mañana estaré presente en el Microsoft CodeCamp 2010 presentando 10 formas de escribir código (in)seguro y una de mis tareas en los últimos días fue buscar errores tontos y predecibles en sitios altamente visitados.
Es así que me crucé con un XSS tonto (muy tonto, aunque hubo errores peores) en el sitio de Bit.ly. Parece que a esta gente no le alcanza con tener vulnerabilidades que permiten redireccionar dominios y que son utilizadas para propagar malware, las cuales hemos denunciado hace 3 meses y aún están en revisión (vota para que lo solucionen!).Ahora también tienen XSS que permiten robar cookies o crear dominios de phishing para robar credenciales.
Aquí hay un ejemplo de lo que sucede con esos enlaces (ahora denunciados y bloqueados) si se los evaluar con WOT:
Ya he denunciado el error a los administradores del sitio esperando que esta vez no se tomen meses para revisar el error.
¿Los detalles de la vulnerabilidad? En la conferencia.
Cristian de la Redacción de Segu-Info
Es así que me crucé con un XSS tonto (muy tonto, aunque hubo errores peores) en el sitio de Bit.ly. Parece que a esta gente no le alcanza con tener vulnerabilidades que permiten redireccionar dominios y que son utilizadas para propagar malware, las cuales hemos denunciado hace 3 meses y aún están en revisión (vota para que lo solucionen!).Ahora también tienen XSS que permiten robar cookies o crear dominios de phishing para robar credenciales.
Aquí hay un ejemplo de lo que sucede con esos enlaces (ahora denunciados y bloqueados) si se los evaluar con WOT:
Ya he denunciado el error a los administradores del sitio esperando que esta vez no se tomen meses para revisar el error.
¿Los detalles de la vulnerabilidad? En la conferencia.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!