banner

Vulnerabilidad XSS en la web de la Academia de TV

7 de Noviembre, en medio de lo que "creen" que es un debate entre los dos partidos más representativos, va #Anonymous, zAs!!!! coloca una divertida caricatura en la web de la Academia de la TV debido a una vulnerabilidad de XSS en la web de la academia, que muestra este aspecto:


¿Quieres reproducir el ataque XSS?

Pon lo siguiente en el Navegador:

http://www.academiatv.es/noticia.php?id=%22%22%3C/style%3E%3C/div%3E%3Cdiv%20style=%22display:block;z-index:777;position:absolute;%20top:115px;%20left:185px;%22%3E%3Cimage%20src=%22http://a.yfrog.com/img576/8464/0h0i.jpg%22%20width=%22895%22%20/%3E%3C/div%3E


¿Qué ocurre si cambiamos el valor de <src image=>?


Este tipo de XSS muestra una imagen, si y solo sí, introduces la URL que se encuentra en el parrafo anterior. Hay que dejar claro que este tipo de ataque, aprovecha la vulnerabilidad XSS para introducir elementos externos (ajenos al servidor), en este caso una imagen, que se encuentra en otro servidor de Internet, en realidad no se ha comprometido ninguna información del servidor. #


Lo habeís adivinado? Pues que se cambiaría la imagen que mostraría a que esta Genial, ;)

ACTUALIZACIÓN (14/11/2011)
La vulnerabilidad ya ha sido resuelta por la web, esto significa que si escribis la URL anterior en la barra de navegación de vuestro navegador web, no ocurrirá nada. No obstante siempre queda la imagen que inmortaliza el momento. Un Saludo.

No hay comentarios :

Publicar un comentario