Lo primero de todo sería explicar un poco qué es el XSS, pues bien lo explico; el XSS es un tipo de vulnerabilidad informáticas en muchas aplicaciones Webs, que permite inyectar código inseguro en las diferentes páginas por cualquier usuario, normalmente el script que se usa para inyectar es el JavaScript, consiguiendo evitar medidas de control, llegando muchas veces a cambiar la portada de una aplicación web.
 |
| Figura 1: Unos de los Defacers sonados en el UPD |
También hay casos como el de Adobe que es el plugin el que debe forzar esa política Same-Origin Policy y lo hace con lo que venía a hablar hoy que es el CrossDomain.xml, que lo hace con la configuración del un fichero de cada sitio, pero normalmente el acceso a datos está prohibido, pero siempre hay excepciones.
.png) |
| Figura 1: CrossDomain.xml en Paypal |
.png) |
| Figura 2: CrossDomain.xml en Ebay |
Estos son dos casos que hoy he traído, pero hay muchos más y que tenéis al alcanza de buscar por vosotros mismos. Por ejemplo en el último caso que es en el de eBay, podemos ver que hay muchas excepciones, así que si algún día se encuentran estas webs u otras muchas con este problema de Cross Site Scripting, con un Defacement en su web, que no se extrañen porque no están siguiendo una buena política.
Saludos Malvados!
No hay comentarios:
Publicar un comentario