Vulnerabilidad en tuentrada.com.pe

Visitando la conocida web de venta de entradas me percate de una vulnerabilidad en su buscador, al parecer las palabras que uno busca, lo usa directamente de una variable de la URL (GET). Una vulnerabilidad conocida como XSS.

Esto es muy peligroso, pues permite ingresar comportamiento por la URL, que afecte el comportamiento del sitio. Habamos un ejemplo.

En la url modificamos insertando este codigo:

<script>alert('xss')</script>

mostrando el siguiente resultado:

Tu entrada XSS

Si prueban este codigo, veran que hace una redireccion a otra pagina:

<script>location.href='http://google.com'</script>

Podemos hacer que haga una redireccion a paginas maliciosas, para robar identidad, tarjetas de credito, etc.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s