Menéame: comentarios [79968]

#16 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

mimismo — Fri, 19 Jan 2007 01:00:47 +0000

Para gente como #3 a ver si primero se informan por lo menos en la Wikipedia ( es.wikipedia.org/wiki/XSS ) para luego entrar en explicaciones más técnicas ( ha.ckers.org/blog/category/webappsec/xss/ ). El fallo no es explotable en si, pero e sposiblemente el primero en una secuencia de pasos que posibilitan una intrusión. Sin ir más lejos, gracias a un fallo sin posibilidades de intrusión directa (el mismo que se nombra en esta noticia) fue posible penetrar el sitio que indexa la mayoría de las intrusiones en el mundo : meneame.net/story/hackeada-zone-h-principal-base-datos-paginas-hackead

Y si mi explicación no te basta, acá está la de los expertos respondiendo tu misma pregunta sla.ckers.org/forum/read.php?3,3843

Como dicen por ahí, la ignorancia es atrevida.

» autor: mimismo

#15 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

alex — Wed, 17 Jan 2007 19:05:41 +0000

rogersm, en donde vivo eso se considera un bug más allá de las consecuencias que pueda o no tener, no creo que ningún desarrollador introduzca intencionalmente ese tipo de cosas como "feature".

Con respecto a lo que dices en #9:
Me resulta curioso como inicialmente dudas de si es un bug o no, pero a la vez confías ciegamente cuando digo "No tengo idea sobre el impacto de este bug en ese sitio".

Finalmente, en ningún momento dije que no encontré ningún impacto, simplemente me he limitado a comentar el bug; pero si insistes en ver resultados y tienes una cuenta u otro tipo de acceso a elpais.com (www.elpais.com/clientes2/SuscripcionPortadaP1.html), podríamos trabajar juntos para ver las verdaderas consecuencias .

» autor: alex

#14 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

agusti — Wed, 17 Jan 2007 18:29:18 +0000

rogersm: Hass ya te ha mostrado como utilizarlo, el exploit lo deja para el lector hábil... do it yourself!

» autor: agusti

#13 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

gogogogo — Wed, 17 Jan 2007 17:20:38 +0000

#11 y #12 exploit or shut up.

» autor: gogogogo

#12 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

Hass — Wed, 17 Jan 2007 15:27:27 +0000

Poder insertar código en cualquier página que se vea logeado es grave. Pero poder insertarlo en la propia página de login ya es de traca.

¿No veis que se puede insertar código que lea o cambie los valores que metes? Robo de contraseñas, robo de identidad, etc.

» autor: Hass

#11 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

Hass — Wed, 17 Jan 2007 15:24:56 +0000

#9 "¡no hay bug!" ¿Y esto que es? " title="www.elpais.com/clientes2/conectar1.html?backURL=">" rel="nofollow">www.elpais.com/clientes2/conectar1.html?backURL=">
PLONK!

Y supongo que el autor no sabe que impacto puede tener porque no se habrá parado a explotarlo para comprobarlo. Cosa bastante normal dados los casos de white hats demandados sólo por comprobar vulnerabilidades...

» autor: Hass

#10 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

--15415-- — Wed, 17 Jan 2007 15:24:00 +0000

[Usuario deshabilitado]

» autor: --15415--

#9 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

gogogogo — Wed, 17 Jan 2007 15:07:59 +0000

#6 ojo... que no es eso. ¡Nadie dice que sea un bug excepto buayacorp! Reconoce que no sabe que impacto tiene, es decir... no ha encontrado impacto y si no hay impacto, ¡no hay bug!

» autor: gogogogo

#8 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

agusti — Wed, 17 Jan 2007 15:03:05 +0000

#6 exactamente, lo importante es que en general la gente pasa de todo a nivel de seguridad.

» autor: agusti

#7 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

Taikochu — Wed, 17 Jan 2007 14:10:59 +0000

#5 Posiblemente lo máximo que se pueda hacer sea colar "contenido" en la página del País "fabricando" una url para tal efecto.

» autor: Taikochu

#6 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

Jason_v — Wed, 17 Jan 2007 14:03:21 +0000

#5 La cosa es que alex no sabe las implicaciones del bug, con lo que no explicada nada sobre el, pero tampoco creo que sea para tanto si no aparece el bug explicado.

Lo importante de la noticia es que el país hace oidos sordos aun a sabiendas de que tiene un bug de seguridad en la web.

» autor: Jason_v

#5 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

XepC — Wed, 17 Jan 2007 14:01:50 +0000

#0 Hombre, no seré tan terminante como #3 (ni votaré amarillista), pero sí que diré que los que no entendemos del asunto agradeceríamos una explicación un poco más generosa, la verdad.

» autor: XepC

#4 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

Taikochu — Wed, 17 Jan 2007 13:59:37 +0000

Alex Concha, el terror de todo programador web con poca preocupación por la seguridad. La verdad es que gracias a él, el menéame es mucho más seguro (el mismo Galli así lo reconoce). Un saludo!

» autor: Taikochu

#3 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

gogogogo — Wed, 17 Jan 2007 13:38:51 +0000

Votada amarillista. El mismo artículo no dice que implica semejante fallo o si sirve para algo explotarlo.

» autor: gogogogo

#2 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

agusti — Wed, 17 Jan 2007 13:25:00 +0000

#1 o te criminalizan que es peor.

» autor: agusti

#1 Avisan de XSS en elpais.com y en 3 meses ni hacen, ni dicen nada

Jason_v — Wed, 17 Jan 2007 13:22:30 +0000

Eso es lo que se preocupan este tipo de páginas en materia de seguridad, 0. Luego si les juankean ya llorarán.

» autor: Jason_v