Todos os posts tagados dailymail

Dailymail vulnerável a ataques XSS

dailymail00

Um utilizador intitulado de SecBit publicou no arquivo de ataques XSSxssposed.org – 9 ataques XSS ao site dailymail.co.uk. A grande maioria ainda não está corrigida e poderá ser um risco de segurança para este jornal britânico.
Para quem não sabe o que é XSS [Cross-Site Scripting], consiste numa vulnerabilidade causada pela falta de validação em parâmetros de entrada do utilizador e a resposta do servidor numa aplicação web. Esta tipo de vulnerabilidade permite que seja inserido duma forma arbitrária, código HTML no browser de um utilizador.

As vulnerabilidades XSS estão localizadas alegadamente em duas aplicações web. O NewsDebate e o Chat do DailyMail. Uma má filtragem em parâmetros destas aplicações tornam o site dailymail.co.uk um alvo para utilizadores maliciosos.

dailymail01

Estes ataques XSS no Dailymail podem conduzir a ataques phishing, propagação de malware, ataques DoS, entre outros.
Relembro que ataques XSS, principalmente em sites populares, podem simplesmente serem conduzidos a ataques de negação de serviço utilizando a ferramenta disponibilizada por Robert ‘RSnake’ Hansen, FlashFlood.

É importante referir que as empresas e respetivas equipas de desenvolvimento devem preocupar-se com este tipo de falha.

Embora desconhecendo se o Dailymail foi contatado sobre estas falhas, e dado que ainda estão vulneráveis, tomei a liberdade de enviar uma notificação por email para resolução desta situação. Entretanto ainda não recebi resposta.

Referências:
https://www.xssposed.org/incidents/53092/
https://www.xssposed.org/incidents/53093/
https://www.xssposed.org/incidents/53094/
https://www.xssposed.org/incidents/53095/
https://www.xssposed.org/incidents/53096/
https://www.xssposed.org/incidents/53097/
https://www.xssposed.org/incidents/53098/
https://www.xssposed.org/incidents/53099/
https://www.xssposed.org/incidents/53100/