Grupo Santander: También se suma a la moda del XSS

Así es, pareciera ser que los errores de programación (bug) que dejan expuestos a los usuarios mediante vulnerabilidades Cross-Site Scripting (XSS) estan de moda, es increible ver la cantidad de sistemas de todo tipo que tienen este tipo de vulnerabilidad. Desde un simple sitio web de noticias hasta un sistema bancario. La unica explicación que puedo encontrar es que al tratarse de una vulnerabilidad que afecta a los usuarios y no a las empresas, le bajan el perfil y no se preocupan en corregirla cuando son reportadas. Que sepan tu contraseña, que cambien tu información, que sepan información privada tuya o que puedan acceder a tu cuenta sin tu permisos solamente te afecta a ti, el dueño del sitio se puede lavar las manos.
La mayoría de los XSS se producen en buscadores y en mensajes de error.

Por lo general son descuidados y permiten la inyección de código html o javascript en los campos “buscar” de los buscadores de cada sitio. Por ejemplo en el sitio web del Grupo Santander:

Si inyectamos código HTML y JavaScript para desplegar una alerta, como <script>alert(/it sucks/)</script> o similar, veremos como el navegador interpretará el código.

En este caso no existe el riesgo del robo de identidad pero si existe la posibilidad de realizar phishing usando la confianza del dominio “Santander.com

1 comentario

  1. Por eso no me gustan los bancos prefiero yo manejar mis recursos economicos nadie me asegura mi informacion XD saludos buen articulo

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.