|
Título: WW-XSS para firefox usando JAR URI.. Publicado por: sirdarckcat en 11 Noviembre 2007, 03:09 am Este es como el tema de la semana en webappsec.
WW-XSS significa "World Wide XSS", y eso es que un XSS estaría afectando muchísimos sitoos web en internet, entre ellos esta este foro. pdp recientemente "reveló" la existencia y posibilidades de explotación del URI "JAR:".. aqui: http://www.gnucitizen.org/blog/web-mayhem-firefoxs-jar-protocol-issues Poco despues beford descubrió que tiene una pequeña vulnerabilidad que permite robar el SOP en sitios que usan redirecciones: http://blog.beford.org/?p=8 En este caso en google.. dado que una redirección NO ES una vulnerabilidad, sino una feature "peligrosa", en este caso todos los usuarios de firefox que usen servicios de google son vulnerables a XSS, aunque google no tenga ninguna vulnerabilidad. PDP explica este tema mas aqui: http://www.gnucitizen.org/blog/severe-xss-in-google-and-others-due-to-the-jar-protocol-issues Esto es bastante peligroso para los usuarios de firefox.. es dificil recomendarles algo.. ya que es un XSS persistente, que no puede detectar NoScript, asi que hasta que mozilla saque algún parche, o algo, no usen firefox.. Saludos!! --actualizacion giorgio maone, acaba de agregar un parche para NoScript en la version 1.1.8 http://noscript.net/?ver=1.1.8 Que detiene los ataques basados en redirecciones para violar la SOP Título: Re: WW-XSS para firefox usando JAR URI.. Publicado por: ~[uNd3rc0d3]~ en 18 Noviembre 2007, 04:35 am yo encontre esto que es mas de lo mismo pero bue
http://www.kriptopolis.org/nuevo-fallo-firefox-amenaza-gmail-2 (http://www.kriptopolis.org/nuevo-fallo-firefox-amenaza-gmail-2) la verdad que es alarmante esto. me parece raro que venga del lado de firefox Título: Re: WW-XSS para firefox usando JAR URI.. Publicado por: WebStar en 18 Noviembre 2007, 15:40 pm Uhh, que raro firefox, a mi que me gusta tanto .. Lo tendre que dejar de usar un tiempo ¬¬, o dejare de usar google xd
Salu2. |