XSS (Cross Site Scripting) en elpais.com

Hace cierto tiempo puse un quiz titulado "cuando los filtros no hacen lo que deberían", en el que preguntaba como explotar la casi nula validación de una variable. Pues bien, ese ejemplo hacía referencia al bug que existe en el sitio web del diario El País de España.

La URL afectada recibe como parámetro la variable backURL, que -supongo- sirve para redireccionar a esa URL una vez hecha la validación de los datos: http://www.elpais.com/clientes2/conectar1.html

Al parecer por la acción de un filtro, esta página envía un error (404) cuando backURL contiene en cualquier ubicación la palabra <script, pero por lo que se ve, los desarrolladores no se dieron cuenta de que existen otros vectores de ataque.

No tengo idea sobre el impacto de este bug en ese sitio, pero lo que está claro es que muchas empresas no le dan demasiada importancia a esto de la seguridad, ya que han pasado aproximadamente 3 meses desde que reporté este problema y hasta el momento ni lo han solucionado, ni he recibido respuesta alguna.

4 Replies to “XSS (Cross Site Scripting) en elpais.com”

  1. Vale, sí, que el XSS es muy bonico ello pero, ¿de qué sirve?

    Quiero decir, si llega un mega-juancker malo maloso y descubre que puede hacer XSS en ElPais, ¿qué gana con ello? ¿cómo van a explotar esta chorrada?

    Lo único que se puede hacer con el XSS es insertar contenido ajeno en una web. Pero con eso no consigues nada más que "hackear" (por decirlo de alguna forma) la web sólo desde el punto de entrada de la URL nueva que tú formes.

    No es más que eso. No me parece un problema de seguridad grave (si es que es realmente un problema de seguridad). Que alguien me corrija si me equivoco por favor.

  2. Por eso digo que no tengo idea de las implicancias que pueda tener ese fallo en ese sitio -no he intentado hacer algo con ese pequeño bug, eso depende de la imaginación y objetivos de cada "atacante".

    Lo único que se puede hacer con el XSS es insertar contenido ajeno en una web. Pero con eso no consigues nada más que "hackear" (por decirlo de alguna forma) la web sólo desde el punto de entrada de la URL nueva que tú formes.

    Dale una mirada a http://sla.ckers.org/forum/read.php?3,3843.

  3. Pues creo que la capacidad de un atacante remoto de conseguir contraseñas de nuestros usuarios a partir de la cookies si se puede catalogar como "problema de seguridad grave", al igual que otras maldades posibles inyectado java.

    Creo que ese comentario no hace mas que poner en evidencia el desconocimiento general que hay sobre estos temas.

    Saludos.

  4. Como bien han manifestado este tipo de ataques es bastante grave en paginas con autenticacion debido a que permite robar las credenciales de los usuarios, es usado para phishing, lógicamente el usuario tiene que hacer click en algun enlace.

Comments are closed.