Comentarios en: XSS (Cross Site Scripting) en elpais.com

Por: Mocorr

Mocorr — Sun, 08 Apr 2007 06:18:00 +0000

Como bien han manifestado este tipo de ataques es bastante grave en paginas con autenticacion debido a que permite robar las credenciales de los usuarios, es usado para phishing, lógicamente el usuario tiene que hacer click en algun enlace.

Por: arrase

arrase — Tue, 23 Jan 2007 13:53:00 +0000

Pues creo que la capacidad de un atacante remoto de conseguir contraseñas de nuestros usuarios a partir de la cookies si se puede catalogar como "problema de seguridad grave", al igual que otras maldades posibles inyectado java.

Creo que ese comentario no hace mas que poner en evidencia el desconocimiento general que hay sobre estos temas.

Saludos.

Por: alex

alex — Wed, 17 Jan 2007 01:55:32 +0000

Por eso digo que no tengo idea de las implicancias que pueda tener ese fallo en ese sitio -no he intentado hacer algo con ese pequeño bug, eso depende de la imaginación y objetivos de cada "atacante".

Lo único que se puede hacer con el XSS es insertar contenido ajeno en una web. Pero con eso no consigues nada más que "hackear" (por decirlo de alguna forma) la web sólo desde el punto de entrada de la URL nueva que tú formes.

Dale una mirada a http://sla.ckers.org/forum/read.php?3,3843.

Por: Ympostor

Ympostor — Wed, 17 Jan 2007 01:21:01 +0000

Vale, sí, que el XSS es muy bonico ello pero, ¿de qué sirve?

Quiero decir, si llega un mega-juancker malo maloso y descubre que puede hacer XSS en ElPais, ¿qué gana con ello? ¿cómo van a explotar esta chorrada?

Lo único que se puede hacer con el XSS es insertar contenido ajeno en una web. Pero con eso no consigues nada más que "hackear" (por decirlo de alguna forma) la web sólo desde el punto de entrada de la URL nueva que tú formes.

No es más que eso. No me parece un problema de seguridad grave (si es que es realmente un problema de seguridad). Que alguien me corrija si me equivoco por favor.