Web 2.0 necesita de seguridad 2.0
Eduardo Viernes 26 de enero del 2007
El año pasado fué el año de las vulnerabilidades de aplicaciones web 2.0, pues casi todos los ataques graves fueron mediante javascript.
Jeremiah Grossman el creador de White Hat, un sitio de seguridad, para mi gusto él es un experto en el tema, nos habla sobre los 10 peores ataques el año pasado en ésta presentación de PDF los cuales se los resumo a continuación:
Hackeando los feeds RSS o sea metiendo código dentro del feed, ejemplo:
<?xml version="1.0" encoding="UTF-8" ?>
<rss version="2.0"><channel><title>Prueba</title>
<strong>Código de javascript malicioso</strong>
</channel>…
Con ésto lograban que sin ni siquiera haberte metido a la página algunos lectores de RSS podrían hacer cosas en tu sistema de archivos.
Contactos de tu Cuenta de GMail
Hubo una vulnerabilidad hace poco la cual hacía posible que habiendo iniciado sesión en GMail al entrar a otra página podrían robarte tus usuarios de la cuenta de GMail, ejemplo:
<script src=http://mail.google.com/mail/?_url_scrubbed>
No todo el XSS es como se ve:
Según los diferentes tipos de codificación de la página se ejecuta e interpreta distinto
<script>alert(1)</script>
+ADw-script+AD4-alert(1)+ADw-/script+AD4-
¼script¾alert(1)¼/script¾
Ésto causado por que la declaración de la codificación era diferente entre páginas.
<META HTTP-EQUIV="Content-Type" content="text/html; charset=UTF-7" />
<META HTTP-EQUIV="Content-Type" content="text/html; charset=US-ASCII" />
Son más los ataques que hubo si quieren seguir leyendo los invito a que vean la presentación en PDF o visiten el artículo en su blog .
(Vía: Jeremiah Grossman)
