Hace cosa de un mes vi este post en
Segu-info y he de decir que tiene bastante buena pinta el trabajo de investigación que se ha realizado en la
Black Hat de este año. Y he decidido probarlo, y aún estoy flipando y si fuese por mi escaso tiempo libre, lo hubiese escrito al día siguiente de leerlo en su blog, pero no he podido y los posts programados son los posts programados, aún así, vengo solamente a contarlo brevemente, si alguno quiere profundizar,
visitar su Blog, que lo han explicado algo más.
 |
Figura 1: Bug con comandos JSON |
Y si no me he enterado mal, el ataque consiste en inyectar en una
URL que se vulnerable a este bug, inyectarle comandos a través de un archivo
JSON. Pero la idea-si no me confundo- no es que se ejecuten estos comandos en el navegador, si no en el propio sistema operativo, pudiendo abrir cualquier cosa como lo que muestro en la Figura 2 de a continuación.
.png) |
Figura 2: Abrir la calculadora con el bug en RFD |
Si queréis podéis probarlo vosotros mismos,
os dejo el pdf por si queréis auto-educaros, que es la mejor forma sin duda de aprender, solo hay que tener disciplina.
Hasta la Próxima Malvados, un HandShake amistoso!
No hay comentarios:
Publicar un comentario