miércoles, 18 de abril de 2007

XSS en la web de la SGAE

En el blog de Jorge Cortell leo esta tarde que algún visitante feliz de pagar cánones a disetro y siniestro, se ha dedicado a hackear la web de dicha organización. Pinchando en un enlace que proporcionan, podemos acceder a una página donde reconocen que realmente son ladrones.
Nada más lejos de la realidad, no se trata de un hackeo de la web en el sentido de la palabra, el problema reside en un fallo de seguridad llamado Cross-site Scripting (XSS).

Resumiendo un poco el tema, el XSS permite incrustar código HTML y Javascript en una página web. Esto no la modifica en el servidor, simplemente permite que la persona que pincha el enlace visualice la web de una forma determinada, y dependiendo de la gravedad del error, se pueden conseguir efectos muy interesantes, incluso conseguir contraseñas, preparando el enlace proporcionado con malicia.


Actualización:

Como soy tan curiosote y hacía tiempo que no hacía un XSS a una web, os dejo este enlace (eso sí, sin maldad y con todo mi respeto), para que veáis que este problema es más común de lo que nos podemos creer.

2 comentarios:

Erkemao dijo...

Una espada de doble filo. Lo había visto alguna vez, pero ya se había borrado en las tinieblas de mi memoria. Menudo cachondeo que habrá tenido la peña con todo este asunto.
Saludos.

OjoVirtual dijo...

De hecho, creo que a las pocas horas de darse a conocer esto, han modificado la web de la SGAE para que no ocurra. Parece ser que no es el primer error de este tipo que se da en su web. Es algo más común de lo que pensamos en la web, como ejemplo el enlace que he puesto debajo.