Cerrada vulnerabilidad de XSS en PageGear
Escrito porHerduin Rivera Alzate, 21 de Marzo de 2012. Guardado enSin categorizar
XSS el 65% de internet tiene este tipo de fallos según WhiteHat Security
Hace algunos dias en twitter@vlycser vio una vulnerabilidad XSS en una de nuestras interfaces para la busqueda de contenidos en los portales por medio del uno de los API's de Google Custom Search Engine, este tipo de vulneravilidades son realmente muy comunes en internet y muchos poca atencion prestan a este tipo de errores, sin embargo de este tipo de fallos de seguridad hay de varias clases aunque el encontrado en PageGear poco o nada pueden afectar el funcionamiento del sitio web para un usuario distinto al que ingresa su XSS.
Aunque debo decir que el anuncio de @vlycser en twitter fue algo alarmista tambien debo darle las gracias, por esta información, que ayuda a nuestra plataforma a cada dia ser mejor y mas segura para los usuarios!
También hace poco se ha dado la curiosa situación de quien afirma haber hallado una vulnerabilidad XSS en el servidor de la Fiscalía General de la Nación y se lamenta de no haber recibido respuesta, al tiempo que reconoce desconocer las consecuencias prácticas de su hallazgo.
Pues bien; con independencia de que el hallazgo sea o no real, en estos casos siempre cabe esperar poco entusiasmo por parte de los responsables del web "afectado", y ello por dos razones fundamentales: 1) Hay quien afirma quetodos los webs tienen alguna vulnerabilidad XSS y sólo hay que saber encontrarla, y 2) la víctima potencial no es el servidor, sino el usuario.
El peligro de XSS es que se trata de un tema muy bien conocido y estudiado por los atacantes maliciosos, que disponen así de un modo casi perfecto de someter el navegador de los usuarios desprevenidos y hacerlo además en un contexto ajeno: el del servidor intermediario.
La solución de este espinoso tema (suponiendo que exista ya que es prácticamente imposible filtrar todos los XSS de una web. Debido tantas variantes que pueden existir...) cae fundamentalmente del lado de los desarrolladores de aplicaciones web, continuemos perfeccionando las técnicas para combatir este tipo de debilidades.
Fuentes de informacion:
- http://www.troyhunt.com/
- http://www.kriptopolis.org/
- http://ha.ckers.org/
- http://www.phpclasses.org/
- http://es.wikipedia.org/
- http://www.google.com.co/
¿Te Gusto Este Artículo? Compartelo ahora!
Twitter
Whatsapp
Pinterest
LinkedIn
Google+| Califique esta publicación |
Autores
Herduin Rivera Alzate
Soy algo loco, creativo, sincero, directo, perezoso, goloso, romantico, soñador y trabajador... Actualmente Founder & CEO en @Exusmultimedia
http://www.exus.co
http://www.exus.co
¿Quieres leer un poco más?
Colombia
Pereira
+57 (6) 321-5407
+57 (6) 321-5407
Bogotá
+57 (1) 381-9747
+57 (1) 381-9747
Número Móvil
+57 (314) 890-9916
+57 (314) 890-9916
Email
hola@exus.com.co
hola@exus.com.co
USASilicon Valley
+1 (650) 304-0042
MéxicoGuadalajara
+52 (334) 162-2077
+1 (650) 304-0042
MéxicoGuadalajara
+52 (334) 162-2077
Comentarios de los usuarios
Deja tu comentario: