And the XSS goes to...

martes 5 de enero de 2010
eu2010.es. Así es, el ganador de comienzo de año de XSS ha sido para web de la presidencia española. Ayer a través de distintas redes sociales, se dió a conocer un fallo de XSS en el cual aparecía en la web de la presidencia española el famoso personaje Mr.Bean en vez del Presidente Zapatero.

La URL en cuestión era la siguiente: http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg%20src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en

En esta URL podemos ver como se inyecta en el parametro query de la página "resultadoBusqueda.html" el valor:

%3Cscript%3Edocument.write%28%27%3Cimg%20src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en

el cual traducido de hexadecimal a ASCII quedaría así:



Como podemos ver se está ejecutando en la parte cliente (en el NAVEGADOR como bien dice Jose A. Guasch) y no en el servidor (XSS no persistente) un script que ejecuta una foto de nuestro amigo Mr. Bean.

En resumen, un 0 para los programadores que han realizado esta página por no validar los parámetros de entrada, otro 0 para los auditores que no han revisado de forma correcta la página web y otro 0 para el responsable de seguridad por no haber revisado todos los parámetros de la página web.

And the stupidity goes to...

Hasta aquí todo bien, ha habido un XSS como lo hay en millones de páginas importantes. La mala leche viene cuando ciertos periódicos y "periodistillas" intentan creerse que lo saben todo y que tienen toda la razón haciendo publicaciones de este tipo

En este artículo podemos leer un parrafo que comenta lo siguiente:

Los "hackers" consiguieron saltarse los sistemas de seguridad de la web de la Presidencia española el lunes, bloquear la página y colocar una imagen de Mr. Bean, sonriente, con los ojos muy abiertos y con cara de sorpresa, que saludaba con un "Hi there" ("Hola a todos", en un inglés coloquial)

 Veamos ciertos términos de este párrafo los cuales claramente están escritos de forma sensacionalista y morbosa:

  • Hacker:  ya estamos con que la abuela fuma, los "hackers" no son gente de mala fe, son gente que utilizan la cabeza para pensar, que les gustan los retos y que intentan mejorar sus habilidades día a día sin hacer mal a nadie. El nombre de alguien que comete un delito es delincuente o cracker si os gusta mas, no "hacker".
  • Saltarse los sistemas de seguridad: saltarse los sistemas de seguridad es como el que salta una valla y llega hasta el muro y coloca una foto de Mr.Bean. Si no consigues llegar al otro lado de la valla, no la has saltado. De poco sirve poner un cartel en el lado de la valla con la cara de Mr.Bean.
  • Bloquear la página: la página web se bloqueó seguramente por los millones de personas que intentaban acceder en ese momento, no porque los supuestos "hackers" la bloquearan.
  • Hi there: a ver si aprendéis inglés porque "Hi there" no es "Hola a todos", simplemente es "Hola", igual que "Hi" pero mas coloquial.
 Con esto intentamos decir (por si alguien no lo ha pillado aun) que hay que tener un poco de cabeza antes de escribir una noticia ya que últimamente se ven muchas noticias sensacionalistas y estúpidas que no van a ninguna parte y que encima hacen quedar al periódico en cuestión como el culo.

Un saludo
    Publicado por Asfasfos

    0 comentarios:

    Publicar un comentario en la entrada

    Suscribirse a: Enviar comentarios (Atom)