Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Grupo Santander: También se suma a la moda del XSS" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
Así es, pareciera ser que los errores de programación (bug) que dejan expuestos a los usuarios mediante vulnerabilidades Cross-Site Scripting (XSS) estan de moda, es increible ver la cantidad de sistemas de todo tipo que tienen este tipo de vulnerabilidad. Desde un simple sitio web de noticias hasta un sistema bancario. La unica explicación que puedo encontrar es que al tratarse de una vulnerabilidad que afecta a los usuarios y no a las empresas, le bajan el perfil y no se preocupan en corregirla cuando son reportadas. Que sepan tu contraseña, que cambien tu información, que sepan información privada tuya o que puedan acceder a tu cuenta sin tu permisos solamente te afecta a ti, el dueño del sitio se puede lavar las manos.
La mayoría de los XSS se producen en buscadores y en mensajes de error.
Por lo general son descuidados y permiten la inyección de código html o javascript en los campos “buscar” de los buscadores de cada sitio. Por ejemplo en el sitio web del Grupo Santander:
Si inyectamos código HTML y JavaScript para desplegar una alerta, como <script>alert(/it sucks/)</script> o similar, veremos como el navegador interpretará el código.
En este caso no existe el riesgo del robo de identidad pero si existe la posibilidad de realizar phishing usando la confianza del dominio “Santander.com“
Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Grupo Santander: También se suma a la moda del XSS" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
agosto 13, 2010 a las 12:41 pm
Por eso no me gustan los bancos prefiero yo manejar mis recursos economicos nadie me asegura mi informacion XD saludos buen articulo