Cross-Site-Scripting con código Morse
Noticia traducida exclusivamente por Segu-Info
Hoy en día, ¿quién entiende Di-Di-Di-Da-Da-Da-Di-Di-Dit (SOS, salvar nuestra alma)? Pocas personas lo harán, pero su navegador web sólo podría hacerlo. En su blog, el experto en seguridad Nathan McFeters ha informado el descubrimiento de un cross-site scripting (XSS), la vulnerabilidad a un sitio web italiano que permite a los atacantes inyectar código JavaScript en código Morse en la barra de direcciones.
El sitio en cuestión toma la entrada del usuario en código Morse y lo traduce a texto plano usando un script en PHP. Por desgracia, los programadores se olvidaron de validar la entrada y salida, lo que permite la posibilidad de incluír y ejecutar código JavaScript en el sitio web, mostrando los resultados de la traducción del código Morse.
Esta vulnerabilidad demuestra que los desarrolladores de aplicaciones Web que aparentemente son inofensivas, y que nunca fueron destinados a ser utilizados como serias herramientas, deben ser tan cuidadoso como los programadores de aplicaciones locales en lo que respecta a la validación de entradas del usuario. En este caso, basta con comprobar la entrada con la función html-entities(), para convertir la salida del script en código HTML inofensivo. Para más consejos sobre la manera de garantizar su propia web de aplicaciones, consulte el artículo de Heise Security titulado Servidor de la paz - Medidas de seguridad para aplicaciones PHP.
Fuente: http://www.heise-online.co.uk/security/Cross-Site-Scripting-with-Morse-code--/news/110663
Hoy en día, ¿quién entiende Di-Di-Di-Da-Da-Da-Di-Di-Dit (SOS, salvar nuestra alma)? Pocas personas lo harán, pero su navegador web sólo podría hacerlo. En su blog, el experto en seguridad Nathan McFeters ha informado el descubrimiento de un cross-site scripting (XSS), la vulnerabilidad a un sitio web italiano que permite a los atacantes inyectar código JavaScript en código Morse en la barra de direcciones.
El sitio en cuestión toma la entrada del usuario en código Morse y lo traduce a texto plano usando un script en PHP. Por desgracia, los programadores se olvidaron de validar la entrada y salida, lo que permite la posibilidad de incluír y ejecutar código JavaScript en el sitio web, mostrando los resultados de la traducción del código Morse.
Esta vulnerabilidad demuestra que los desarrolladores de aplicaciones Web que aparentemente son inofensivas, y que nunca fueron destinados a ser utilizados como serias herramientas, deben ser tan cuidadoso como los programadores de aplicaciones locales en lo que respecta a la validación de entradas del usuario. En este caso, basta con comprobar la entrada con la función html-entities(), para convertir la salida del script en código HTML inofensivo. Para más consejos sobre la manera de garantizar su propia web de aplicaciones, consulte el artículo de Heise Security titulado Servidor de la paz - Medidas de seguridad para aplicaciones PHP.
Fuente: http://www.heise-online.co.uk/security/Cross-Site-Scripting-with-Morse-code--/news/110663
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!