En los últimos tiempos se ha puesto muy de moda Twitter, que como todos sabreis es una manera cómoda de compartir mensajes cortos, reenviar los mensajes de otros a nuestros otros contactos, etc. Con la aparición de Twitter y la limitación de 140 caracteres por mensaje surgieron los primeros problemas: ¿cómo pongo una URL? Si es del tipo http://www.pentester.es no hay ningún problema, es corta y podemos incluirlo en nuestro mensaje. Sin embargo las limitaciones del Twitter se pegan de morros con la longitud actual de las URL, sobretodo cuando referenciamos a posts o artículos concretos de un periódico: http://www.pentester.es/2009/09/conferencias-source-barcelona-21-y-22.html.
Esta última son, por si sola, 77 caracteres.
Como respuesta, han aparecido muchísimos servicios para hacer "Short URL Redirection", es decir, tú le das a la web la URL más larga que un día sin pan y él te lo convierte en algo mucho menos legible, pero mucho más corta y no nos va a dar ningún problema. Cuando el usuario pinche sobre esa URL será redireccionado inmediatamente a la URL larga, y todo funcionará sin mayor problema.
¿Sin mayor problema? Va a ser que no...
Cada vez está todo el mundo más acostumbrado a pinchar en este tipo de enlaces sin pensar que no tenemos ni idea de sobre que estamos pinchando.
Así que... vamos al grano, vamos a suponer que tenemos una web vulnerable a XSS o CSRF y que la URL con la que conseguimos explotarla.
Contenido completo en Pentester
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!