MySpace susceptible a amenazas a través de XSS
Durante el pasado mes se había reportado una vulnerabilidad en la conocida red social MySpace mediante la cual a través de un ataque del tipo XSS (Cross-Site Scripting) es posible diseminar malware o cometer otros actos maliciosos como el robo de perfiles.
XSS es un ataque del tipo scripting que busca explotar vulnerabilidades en el código de las aplicaciones que interpretan el lenguaje HTML, y si bien MySpace incorpora ciertas capas de protección para evitar este tipo de ataques como el bloque de la etiqueta script, la falla permite bypassear el bloqueo por lo que un atacante podría insertar y ejecutar un script malicioso de la siguiente manera:
http://www.myspace.com/index.cfm?fuseaction=user.viewprofile&friendID=446695851
No es la primera vez, y seguramente no será la última, que MySpace sufre las consecuencias de la inseguridad a través de ataques de scripting. Lo grave del asunto es que se deja en completa disponibilidad la información, los perfiles y la seguridad de sus usuarios.
# pistus Ver más