|
Título: Cross site Scripting persistente en Blogger Publicado por: wolfbcn en 25 Enero 2013, 00:59 am Se ha encontrado un problema de Cross-Site Scripting persistente en Blogger, que podría permitir a un atacante con permisos de escritura de blogs robar la cuenta de administrador. Google no considera el problema una vulnerabilidad en sí.
Blogger es un servicio de publicación de bitácoras en línea de Google. Lleva activo desde el año 2000 y se considera el precursor del uso de formularios web para la publicación de contenido. Un ataque Cross-site Scripting o XSS se basa en que una página web no filtra correctamente ciertos caracteres especiales y permite ejecutar código javascript. Dentro del XSS existen dos tipos, el persistente y el no persistente. Seguir leyendo : http://www.laflecha.net/canales/seguridad/noticias/cross-site-scripting-persistente-en-blogger Título: Re: Cross site Scripting persistente en Blogger Publicado por: Binary_Death en 25 Enero 2013, 13:37 pm Pues yo estoy de acuerdo con Google.
La vulnerabilidad no viene de afuera, sino de adentro. Lo que incluya el administrador en el código de su página es a su gusto, y para que los usuarios visitantes se protejan pues que usen algún software o algo, que hay muchos. Si no permitieran la inclusión de código javascript se perdería mucha potencia a la hora de usar blogger. Título: Re: Cross site Scripting persistente en Blogger Publicado por: Novlucker en 25 Enero 2013, 13:47 pm Vuelve a leer, de lo que se habla es de elevación de privilegios por medio de ese XSS :)
Tú eres el administrador de un blog y me pones como colaborador, puedo escribir, y puedo incluir el código necesario para robar tu sesión, hacerme administrador y darte de baja a ti :) Saludos Título: Re: Cross site Scripting persistente en Blogger Publicado por: Binary_Death en 25 Enero 2013, 14:08 pm La solución sería pues no ponerte de colaborador ;D
Título: Re: Cross site Scripting persistente en Blogger Publicado por: $Edu$ en 25 Enero 2013, 16:37 pm La solución sería pues no ponerte de colaborador ;D Por eso mismo no lo considera una vulnerabilidad Google y opino igual que vos y que Google. Título: Re: Cross site Scripting persistente en Blogger Publicado por: el-brujo en 25 Enero 2013, 18:46 pm http://underc0de.org/foro/hacking-showoff/xss-persistente-blogger-13978/
Título: Re: Cross site Scripting persistente en Blogger Publicado por: alister en 25 Enero 2013, 19:00 pm ¿como, como?
que hay quien dice que eso NO es una vulnerabilidad? y que google opina igual? no entiendo nada....... Título: Re: Cross site Scripting persistente en Blogger Publicado por: #!drvy en 25 Enero 2013, 19:30 pm No es una vulnerabilidad del sistema... es un fallo de usuario. Seria lo mismo, si en este foro estuviese permitido meter javascript -.-
No es problema de Google porque es el administrador el que decide si darle suficientes privilegios a un usuario o no. De hecho a esto no se le puede llamar ni XSS... la razón es que Google permite javascript en sus blogs -.- Pasa que hay que darle importancia y que los usuarios que no saben nada de eso alucinen.. PD: Blogger no seria blogger si no permitiese javascript... Saludos Título: Re: Cross site Scripting persistente en Blogger Publicado por: alister en 25 Enero 2013, 20:34 pm No es una vulnerabilidad del sistema... es un fallo de usuario. Seria lo mismo, si en este foro estuviese permitido meter javascript -.- No es problema de Google porque es el administrador el que decide si darle suficientes privilegios a un usuario o no. De hecho a esto no se le puede llamar ni XSS... la razón es que Google permite javascript en sus blogs -.- Pasa que hay que darle importancia y que los usuarios que no saben nada de eso alucinen.. PD: Blogger no seria blogger si no permitiese javascript... Saludos AHH!! ahora entiendo! me vas a perdonar, pero soy un completo desconocedor de blogger, debe ser de los pocos productos de google que apenas he visto en años. pero, en serio... permite javascript everywhere? para que? ahora vuelvo a decir "no entiendo nada", aunque sea por otro motivo... jajajaja |