Cross site Scripting persistente en Blogger

Foro de elhacker.net

Foros Generales

Foro Libre

Noticias (Moderadores: wolfbcn, El_Andaluz)

Cross site Scripting persistente en Blogger

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Autor

Tema: Cross site Scripting persistente en Blogger (Leído 1,855 veces)

wolfbcn

Moderador

Desconectado

Mensajes: 53.663

Cross site Scripting persistente en Blogger

« en: 25 Enero 2013, 00:59 am »

Se ha encontrado un problema de Cross-Site Scripting persistente en Blogger, que podría permitir a un atacante con permisos de escritura de blogs robar la cuenta de administrador. Google no considera el problema una vulnerabilidad en sí.

Blogger es un servicio de publicación de bitácoras en línea de Google. Lleva activo desde el año 2000 y se considera el precursor del uso de formularios web para la publicación de contenido.

Un ataque Cross-site Scripting o XSS se basa en que una página web no filtra correctamente ciertos caracteres especiales y permite ejecutar código javascript. Dentro del XSS existen dos tipos, el persistente y el no persistente.

Seguir leyendo : http://www.laflecha.net/canales/seguridad/noticias/cross-site-scripting-persistente-en-blogger


	En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

Binary_Death

Desconectado

Mensajes: 214

Re: Cross site Scripting persistente en Blogger

« Respuesta #1 en: 25 Enero 2013, 13:37 pm »

Pues yo estoy de acuerdo con Google.
La vulnerabilidad no viene de afuera, sino de adentro. Lo que incluya el administrador en el código de su página es a su gusto, y para que los usuarios visitantes se protejan pues que usen algún software o algo, que hay muchos.
Si no permitieran la inclusión de código javascript se perdería mucha potencia a la hora de usar blogger.


	En línea

Novlucker

Ninja y
Colaborador

Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces

Re: Cross site Scripting persistente en Blogger

« Respuesta #2 en: 25 Enero 2013, 13:47 pm »

Vuelve a leer, de lo que se habla es de elevación de privilegios por medio de ese XSS

Tú eres el administrador de un blog y me pones como colaborador, puedo escribir, y puedo incluir el código necesario para robar tu sesión, hacerme administrador y darte de baja a ti

Saludos


	En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro."

Albert Einstein

Binary_Death

Desconectado

Mensajes: 214

Re: Cross site Scripting persistente en Blogger

« Respuesta #3 en: 25 Enero 2013, 14:08 pm »

La solución sería pues no ponerte de colaborador


	En línea

$Edu$

Desconectado

Mensajes: 1.842

Re: Cross site Scripting persistente en Blogger

« Respuesta #4 en: 25 Enero 2013, 16:37 pm »

Cita de: Binary_Death en 25 Enero 2013, 14:08 pm

La solución sería pues no ponerte de colaborador

Por eso mismo no lo considera una vulnerabilidad Google y opino igual que vos y que Google.


	En línea

el-brujo

ehn

Desconectado

Mensajes: 21.590

La libertad no se suplica, se conquista

Re: Cross site Scripting persistente en Blogger

« Respuesta #5 en: 25 Enero 2013, 18:46 pm »

http://underc0de.org/foro/hacking-showoff/xss-persistente-blogger-13978/


	En línea

alister

Desconectado

Mensajes: 513

Re: Cross site Scripting persistente en Blogger

« Respuesta #6 en: 25 Enero 2013, 19:00 pm »

¿como, como?
que hay quien dice que eso NO es una vulnerabilidad?
y que google opina igual?

no entiendo nada.......


	En línea

Back 2 business!

#!drvy

Desconectado

Mensajes: 5.850

Re: Cross site Scripting persistente en Blogger

« Respuesta #7 en: 25 Enero 2013, 19:30 pm »

No es una vulnerabilidad del sistema... es un fallo de usuario. Seria lo mismo, si en este foro estuviese permitido meter javascript -.-
No es problema de Google porque es el administrador el que decide si darle suficientes privilegios a un usuario o no.

De hecho a esto no se le puede llamar ni XSS... la razón es que Google permite javascript en sus blogs -.-
Pasa que hay que darle importancia y que los usuarios que no saben nada de eso alucinen..

PD: Blogger no seria blogger si no permitiese javascript...

Saludos


	En línea

https://www.youtube.com/watch?v=oqKsrSXLR98

alister

Desconectado

Mensajes: 513

Re: Cross site Scripting persistente en Blogger

« Respuesta #8 en: 25 Enero 2013, 20:34 pm »

Cita de: drvy | BSM en 25 Enero 2013, 19:30 pm

AHH!!

ahora entiendo!

me vas a perdonar, pero soy un completo desconocedor de blogger, debe ser de los pocos productos de google que apenas he visto en años.

pero, en serio... permite javascript everywhere? para que? ahora vuelvo a decir "no entiendo nada", aunque sea por otro motivo... jajajaja


	En línea

Back 2 business!

Páginas: [1]

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	Cross Site Scripting (XSS) Nivel Web	yeikos	3	6,599	28 Mayo 2007, 05:59 am por Man-In-the-Middle
	Cross Site Scripting en Myspace.com Nivel Web	keype	6	4,622	26 Abril 2007, 18:15 pm por Crack_X
	Cross Site Scripting « 1 2 » Nivel Web	berni69	11	7,993	20 Julio 2007, 16:24 pm por Tengu
	Cross Site Scripting Nivel Web	pelonms7	6	6,021	7 Marzo 2011, 03:20 am por pelonms7