Encuentran fallos de seguridad en 25 tiendas en línea con el logotipo "Verisign Trusted"
Freedom, el hacker de sombrero gris que ha identificado muchas vulnerabilidades de cross-site scripting (XSS) en algunos sitios importantes, regresa con otros hallazgos interesantes. Descubrió una serie de 25 tiendas en línea del Reino Unido que contienen agujeros de seguridad XSS.
Lo preocupante es que todos los sitios tienen logotipos de Verisign Trusted, Internet Shopping is Safe, Internet Delivery is Safe, Verified by Visa y MasterCard SecureCode.
"25 de estos grandes sitios ejecutan el mismo script y no fue difícil encontrarlos utilizando un 'Google dork' hecho en casa. Intentan filtrar la búsqueda en las páginas principales pero luego cuando busques algo que está allí te permite buscar de nuevo y esta vez no tienes límite de caracteres y muy poco filtrado", nos dijo el hacker.
"Una persona que haya visto un XSS por 5 minutos podría derrumbar a estos sitios y hacer un montón de daño a la reputación de estos sitios".
Freedom nos proporcionó imágenes para demostrar que las vulnerabilidades existen en sitios como House of Fraser, Jacamo, Fashion World, Premier Man, Williams and Brown, Marisota, Ambrose Wilson, Viva la Diva, Fifty Plus y High and Mighty.
Fallos XSS similares fueron encontrados en tiendas en línea como JD Williams, House of Fraser, Jacamo, Fashion World, Premier Man, Williams and Brown, Marisota, Ambrose Wilson, Viva la Diva, Fifty Plus, and High and Mighty.
Otro sitio que resultó ser vulnerables es ASDA Direct (direct.asda.com), pero éste está presentado por separado debido a que no muestra ningún logotipo que garantice la seguridad del comprador.
"Es otro ejemplo de cómo están llevando a los usuarios a una siniestra falsa de seguridad. Creo que la secuencia de comandos que utilizan estos sitios fue codificada por niños de 5 años. Nunca en toda mi vida encontré un script tan pobre utilizado por tantas marcas importantes", agregó.
"Pero esto me dice una cosa, todos están copiando y piensan 'pues bueno, si ellos so usan debe ser seguro' y no lo comprueban, simplemente lo incluyen en línea y permiten a los usuarios utilizar código no probado".
Algunos podrán argumentar que estas medidas de seguridad están diseñadas para proteger la información privada de los usuarios al comprar algo desde el sitio, pero los administradores nunca deberían pasar por alto los errores simples que pueden existir en sus dominios.
“Los usuarios deben entender que si van a un sitio que tiene un sello que dice que es seguro y tiene precios muy altos, esto no significa que es de hecho seguro para los clientes", concluyó el hacker.
Traducido por Ancuta Rotaru
Por Eduard Kovacs
Fuente: Softpedia
Lo preocupante es que todos los sitios tienen logotipos de Verisign Trusted, Internet Shopping is Safe, Internet Delivery is Safe, Verified by Visa y MasterCard SecureCode.
"25 de estos grandes sitios ejecutan el mismo script y no fue difícil encontrarlos utilizando un 'Google dork' hecho en casa. Intentan filtrar la búsqueda en las páginas principales pero luego cuando busques algo que está allí te permite buscar de nuevo y esta vez no tienes límite de caracteres y muy poco filtrado", nos dijo el hacker.
Freedom nos proporcionó imágenes para demostrar que las vulnerabilidades existen en sitios como House of Fraser, Jacamo, Fashion World, Premier Man, Williams and Brown, Marisota, Ambrose Wilson, Viva la Diva, Fifty Plus y High and Mighty.
Fallos XSS similares fueron encontrados en tiendas en línea como JD Williams, House of Fraser, Jacamo, Fashion World, Premier Man, Williams and Brown, Marisota, Ambrose Wilson, Viva la Diva, Fifty Plus, and High and Mighty.
Otro sitio que resultó ser vulnerables es ASDA Direct (direct.asda.com), pero éste está presentado por separado debido a que no muestra ningún logotipo que garantice la seguridad del comprador.
"Pero esto me dice una cosa, todos están copiando y piensan 'pues bueno, si ellos so usan debe ser seguro' y no lo comprueban, simplemente lo incluyen en línea y permiten a los usuarios utilizar código no probado".
Algunos podrán argumentar que estas medidas de seguridad están diseñadas para proteger la información privada de los usuarios al comprar algo desde el sitio, pero los administradores nunca deberían pasar por alto los errores simples que pueden existir en sus dominios.
“Los usuarios deben entender que si van a un sitio que tiene un sello que dice que es seguro y tiene precios muy altos, esto no significa que es de hecho seguro para los clientes", concluyó el hacker.
Traducido por Ancuta Rotaru
Por Eduard Kovacs
Fuente: Softpedia
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!