XSS en Mercado Libre (solucionado)
Al igual que hace un tiempo, hemos hallado (y denunciado) un caso de XSS en el sitio de Mercado Libre.
En esta oportunidad se trata(ba) de un error en el manejo de la variable "isMot" que se envía al script profile:
http://www.mercadolibre.com.ar/jm/profile?id=XXXX&isMot=SCRIPT
De esta forma un atacante podría enviar un enlace especialmente construído y efectuar desde robo de credenciales hasta la construcción de una página de phishing. Al tratarse del sitio real de Mercado Libre, las víctimas difícilmente sospecharían:
Es notable como este tipo de error lamentablemente abundan en diversos sitios web "confiables" y todo debido a que no se capacita a los desarrolladores y evidentemente tampoco se realiza una auditoría seguridad sobre código fuente.
Cuando lo denunciamos, nuevamente la empresa respondió solucionado el error pero de forma reactiva. La solución definitiva sería una revisión completa de todo el sitio para evitar más casos similares (desde Segu-Info hemos encontrado y denunciado un par, pero ¿cuantos habrá?) y de esta forma dar mayor transparencia a sus usuarios.
Luego de nuestra denuncia a la empresa, el problema ha sido solucionado.
Cristian de la Redacción de Segu-Info
En esta oportunidad se trata(ba) de un error en el manejo de la variable "isMot" que se envía al script profile:
http://www.mercadolibre.com.ar/jm/profile?id=XXXX&isMot=SCRIPT
De esta forma un atacante podría enviar un enlace especialmente construído y efectuar desde robo de credenciales hasta la construcción de una página de phishing. Al tratarse del sitio real de Mercado Libre, las víctimas difícilmente sospecharían:
Cuando lo denunciamos, nuevamente la empresa respondió solucionado el error pero de forma reactiva. La solución definitiva sería una revisión completa de todo el sitio para evitar más casos similares (desde Segu-Info hemos encontrado y denunciado un par, pero ¿cuantos habrá?) y de esta forma dar mayor transparencia a sus usuarios.
Luego de nuestra denuncia a la empresa, el problema ha sido solucionado.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!