Vulnerabilidad HTML injection en ZoomBlog
sikikmail[arroba]gmail.com reporta que ZoomBlog es vulnerable a ataques "HTML injection".
Es posible para un usuario malicioso de ZoomBlog inyectar HTML hostil y código script en los comentarios, mediante los campos del formulario.
Este código será interpretado por el navegador del usuario que visualice los comentarios en ZoomBlog.
ZoomBlog no filtra adecuadamente las etiquetas HTML de varios campos.
Esto podría habilitar a un atacante para inyectar codigo script arbitrario dentro de las páginas que son generadas por ZoomBlog.
Ejemplo:
(ver reporte original)
Referencias:
Bugtraq: Zoomblog HTML Injection Vulnerability
http://seclists.org/lists/bugtraq/2005/Nov/0065.html
Actualizacion:
Rogelio Bernal Andreo me informa que este fallo fue resuelto el pasado 4 de noviembre cuando detectaron a un usuario haciendo pruebas sobre esto.
posted by Marcelo.ar @ 11/05/2005 04:03:00 a.m.
1 comments
1 Comments:
Agujeros, vulnerabilidades, códigos maliciosos, parches, reparches, con los que uno acaba preguntándose si somos conejillos de experimentación para que se descubran los fallos, o practican con nosotros diversas posibilidades de seguridad.
Hace años decíamos medio en broma "si no quieres que te ataquen, no te conectes; si no quieres que roben tu trabajo, no lo publiques en internet". El argumento sigue siendo válido; cada uno que le de el tono de sarcasmo o de miedo que crea conveniente. Como las ensaladas: el aliño a discreción.
Copio y me pego este comentario por ahí para mi propio uso.
Publicar un comentario
<< Home