SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

6 dic 2007

Segu-Info » , » XSS en website del FBI

XSS en website del FBI

6 dic 2007, 5:54:00 p.m.   1 comentario
  ,  
Nota de Segu-Info: Pensar que todos los días me siguen afirmando que los errores de XSS no son importantes y no se puede hacer nada grave con ellos.

De acuerdo a la persona que envió esta información se trata de un error de seguridad bastante antiguo (varios meses), pero aún está vigente. Uno de los tantos sitios del FBI (Federal Bureau of Investigations) en EEUU es vulnerable a ataques de inyección de scripting cruzado, también conocido como XSS (Cross Site Scripting).

No se tiene claridad quien habrá sido quien descubrió esto o si habrá servido para iniciar otro tipo de ataques contra ese servidor, pero lo claro es que lleva varios meses y no se ha solucionado. Esto pareciera contrastar la super estratégica defensiva montada por EEUU en todos sus servidores y sus redes luego de los ataques del 11-S.

Es muy extraño que un sitio web perteneciente a esta agencia norteamericana presente errores tan típicos en cuanto a la seguridad, porque son precisamente sitios muy "cotizados" en el ambiente underground y comunidades de hackers-defacers (estos últimos, quienes pintan sitios Web ilegítimamente).

Irónicamente, se arroja el mensaje que sigue:

SEARCH RESULT

This Search tool only searches the content of the FBIjobs Web site. (Esta herramienta de búsqueda solamente busca el contenido dentro del sitio Web de FBIjobs), aunque está claro que... puede hacerse más que eso.

Para ver la prueba de concepto (PoC) de este problema, haga click

EN LA PRUEBA NUMERO 1
EN LA PRUEBA NUMERO 2.
En este caso se ha hecho una inyección de imágenes y textos que van en total oposición al contenido del sitio Web. No significa que en este sitio web se tenga algún tipo de problema político, social, conceptual o religioso con las personas involucradas, si no que simplemente es un "lindo ejemplo" de cómo funciona el XSS.

Los encargados de websites como el FBI y similares hacen una gran labor en cuanto a seguridad, pero no deben pestañear ni un solo segundo porque en ese tiempo aparecen cosas como estas.

Criticidad del problema: MEDIO-GRAVE. Medio, porque en general los XSS se consideran en este nivel y grave porque al tratarse de un website importante para un país tan relevante internacionalmente, este tipo de servidores se ve como un gran objetivo en los ataques informáticos.

PS: Gracias a FelipeX por enviar esta información.

Fuente: http://www.seguridad-informatica.cl/home/xss-en-website-del-fbi



Suscríbete a nuestro Boletín

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!