Sitio ruso patea el avispero XSS
Todo empezó con un reto: encontrar vulnerabilidades XSS en sitios web. De hecho, son tan habituales que pocos sitios se libran de ellas y todo consiste en saber buscarlas.
Lo que quizás no esperaba la gente de SecurityLab era la envergadura de los sitios que iban enseguida a revelarse vulnerables: Adobe, eEye, IBM, Sun, F-Secure, Symantec, Cisco, MSN, Oracle, Google, Netscape, Digg, PayPal, Security Focus, Verisign, Snort... ¡e incluso la mismísima NSA!
Algunos de los sitios afectados ya han reparado los fallos; otros, aún no...
Algunos asistentes al último Black Hat coincidían en que no existen redes seguras, puesto que, con independencia del sistema operativo y el cuidado que se ponga, existen individuos que siempre van a lograr entrar donde se propongan.
El experimento de SecurityLab que comentamos, donde incluso sitios encargados de acreditar a los demás se muestran ellos mismos vulnerables, no es más que otra muestra de que la seguridad en Internet es una quimera.
Para saber más sobre XSS:
* The Cross Site Scripting (XSS) FAQ (una FAQ asequible, aunque bastante genérica)
* XSS (Cross Site Scripting) Cheat Sheet (un recurso más técnico, pero también más práctico)
Fuente: http://www.kriptopolis.org/node/2733
___
Lo que quizás no esperaba la gente de SecurityLab era la envergadura de los sitios que iban enseguida a revelarse vulnerables: Adobe, eEye, IBM, Sun, F-Secure, Symantec, Cisco, MSN, Oracle, Google, Netscape, Digg, PayPal, Security Focus, Verisign, Snort... ¡e incluso la mismísima NSA!
Algunos de los sitios afectados ya han reparado los fallos; otros, aún no...
Algunos asistentes al último Black Hat coincidían en que no existen redes seguras, puesto que, con independencia del sistema operativo y el cuidado que se ponga, existen individuos que siempre van a lograr entrar donde se propongan.
El experimento de SecurityLab que comentamos, donde incluso sitios encargados de acreditar a los demás se muestran ellos mismos vulnerables, no es más que otra muestra de que la seguridad en Internet es una quimera.
Para saber más sobre XSS:
* The Cross Site Scripting (XSS) FAQ (una FAQ asequible, aunque bastante genérica)
* XSS (Cross Site Scripting) Cheat Sheet (un recurso más técnico, pero también más práctico)
Fuente: http://www.kriptopolis.org/node/2733
___
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!