Román Cortés (el mismo Román que hizo el logotipo de SigT) ha estado
probando posibles fallos XSS en distintas webs y me ha contado uno
curioso en Technorati pero que posiblemente sea uno gordo.
Aunque las peticiones se envían mediante POST, al campo Member Name
en la página de acceso (Sign In) se le puede introducir código que una
vez recargada la página con el aviso de "usuario incorrecto" será
ejecutado.
Un ejemplo inocente sería poner como nombre de usuario:
" onmouseover="alert('alerta XSS')
Darle a "sign in" y luego pasar el ratón por encima del campo para
hacer saltar la alarma. Un ejemplo un poco más radical (hace saltar el
XSS sin pasar el ratón por ahí) seria:
" onmouseover="alert('alerta XSS')" style="position: absolute; left: -500px; top: -500px; width: 2000px; height: 2000px;
Importante: si usas el ejemplo anterior, pon el ratón fuera de
la página, pulsa ENTER para aceptar el "Ok" de la ventana JavaScript que
abre los ejemplos y cierra la pestaña o cada vez que muevas el ratón en
la página saltará.
En principio es un fallo XSS "normal" y bueno... lo de gordo depende hasta que punto. En principio no se puede ejecutar PHP y es por eso que, al no poder hacer destrozos en el servidor, lo he puesto. De otro modo no lo publicaría. Aún así está por ver si no puede perjudicar a los usuarios.
Los fallos XSS han demostrado haberse convertido en toda una plaga hoy en día. De momento ya he dado parte a Kirai (si no recuerdo mal trabaja en Technorati).
Comentarios