Las técnicas de XSS llevan ya mucho tiempo en el ajo este de la "Internete" y hay quien las ha devaluado como técnicas de segunda división. Sí, es cierto, no se ejecutan en el servidor y parece que el que se ejecuten en el cliente hace de ellas menos importante.
El caso es que con ellas se puede jugar si la gestión de las credenciales de los clientes están poco securizadas. Un emplo de esto es el Hijacking que se podía realizar de las cuentas en Slashdot. Ese es un típico ejemplo en el que se ve como si alguien roba la cookie de una sesión autenticada puede entrar en la cuenta del otro.
Otro claro ejemplo de esto fue parte del proceso se siguió para defacear la web de Zone-h, dónde se utilizó un XSS para mangar la sesión de la cuenta de correo de un editor y... el resto es historia.
Thor, de Elhacker.net me envió el otro día un XSS no persistente en Blogspot, y además en la parte que siempre se prueba, en el motor de búsquedas. Si haces click en el siguiente link se mostrará la cookie con la que estás visitando este blog:
http://elladodelmal.blogspot.com/search?q=%3Cscript%3Ealert(document.cookie);%3C/script%3E
Thor estuvo probando varias cosas, y llegó a una buena conclusión. El XSS sólo se ejecuta si y sólo sí, la página ofrece resultados. Así como en este blog se ha hablado varias veces de XSS se ejecuta la visualización de la cookie.
El problema, podíamos pensar, es que sólo podemos hacer XSS de lo que nos vaya a dar resultados,¿no?. Pues no, yo creo que el problema es generar un resultado para lo que quieras ejecutar, es decir, primero decides que javascript quieres ejecutar en el XSS y después, en un post creado para ese proposito generas la entrada necesaria para que de resultados con tu XSS.
¿Pero... tiene sentido? Es decir, un blogger puede postear código, al menos en Blogspot, y puede, si quiere, realizar. Yo he creado una entrada llamada Zarzojo que hace lo pispo. ¿Sirve para algo entonces el XSS del motor de búsqueda? ¿A alguien se le oucurre un vector de ataque? ¿Debería Google meterle mano o puede pasar en canoa de él?
Soy todo ojos. Saludos malignos!
Hombre, tiene pinta de que sólo vale para un compi de despacho que aproveche para meter mano a ese post que tu has puesto de ejemplo para robarte la cookie y hacer un post desde tu cuenta, mientras sigues en el servicio, o para editar un post y metér código que envie las cookies de quien lo lea a un servidor. Ahora, que seas tú (el dueño) o cualquier otro usuario, vete a saber...
ResponderEliminarPor lo que cuentas mucha utilidad no tiene, salvo que seas un autor malvado y quieras poner cosas para tocar los webs a los lectores...
Esto es el fin de los blogspots señores!, no lo ven claro?
ResponderEliminar@tecnicoless:
ResponderEliminarTu frase es el típico humor de los tecnicoless. Eres muy gracioso. Pero realmente sabes lo que es XSS?Ahora sí, ya claro!, buscando en google....
Chema habla de seguridad en este post, no del futuro de blogger. Pero que te voy a contar, si tu estás aconstumbado a predecir el futuro, porque, ¿eres también economista, no? ¿o es que eso es una virtud de tu estudio sobre el tratamiento de la empresa como un organismo interconectado?.
Tanto gilipollas suelto y tan pocas balas!!!(Ford fairlane).
Geo, claro que se que es una xss (suelo programar muchas), y es el final de la blogsfera porque arreglar una xss no tiene una solucion facil, solo les queda reescribir toda la aplicacion desde 0, creeme
ResponderEliminarCuando menos tiene su gracia que se lo coma Blogspot
ResponderEliminarSolo alguien demasiado aburrido encontraria la forma de hacer el mal con este xss.
ResponderEliminarPD: Es increible como no se salva ni dios de algun fallito de seguridad.
Nos vemos. Kraden.
¿Realmente creéis que son tan ingenuos? Yo no. Sin embargo estoy absolutamente seguro que todas y absolutamente todas las páginas web de Internet son aptas para hacer XSS. Sólo hay que saber por dónde clavarla.
ResponderEliminarEn mi opinión una vulnerabilidad que permita XSS o 'script injection' es demasiado evidente como para dejarla ahí a la vista, aun cuando no resulte explotable de forma inmediata o no parezca útil a primera vista para un usuario malicioso.
ResponderEliminarMalig,
ResponderEliminarEsto no tiene mucho que ver con el asunto en cuestión pero .... creo que vienes este Jueves a Murcia chiti no ?? ... espero que si, porque me apetece mucho ver cómo lo hacéis en persona ... he visto muchos webcast y vídeos y la verdad es que sois los mejores ... no falles eh ??
Estoy cogiendo el tren a Valencia, para ir esta noche a Murcia. Estaremos, resacosos o no es otra cuestión ;)
ResponderEliminarNos vemos en Valencia y Murcia.
Si pasáis por Valencia avisadme, aunque sea para tomar unas cañas y conocernos.
ResponderEliminarY blogspot lo acabó arreglando...
ResponderEliminar