Todos os posts tagados xssposed

HackersList.com com falha XSS

hackerslist_xss

Chama-se HackersList.com e nos últimos dias tem estado presente em imensos sites da comunicação social.
Basicamente é um serviço de aluguer de hackers profissionais para qualquer tipo de serviço.

Um utilizador intitulado de watt, encontrou e publicou uma falha XSS no site e divulgou-a no xssposed.org.
Uma falta de filtragem da variável de pesquisa, leva à possibilidade de injetar código no URL e executá-lo no browser da vítima.

Dado que à data do artigo, o site ainda estava vulnerável, enviei um email para a equipa do site.

Parece-me correto, escrever o famoso ditado popular – Casa de ferreiro, espeto de pau.

Hootsuite vulnerável a XSS

hootsuite_xss

Foi divulgado no site xssposed.org, que o Hootsuite está vulnerável a uma falha XSS. Este site é um arquivo de falhas XSS [apenas conhecia o xssed.com] que publica diariamente listas de sites vulneráveis a este tipo de vulnerabilidade.

Para quem não sabe o que é XSS [Cross-Site Scripting], consiste numa vulnerabilidade causada pela falta de validação em parâmetros de entrada do utilizador e a resposta do servidor numa aplicação web. Esta tipo de vulnerabilidade permite que seja inserido duma forma arbitrária, código HTML no browser de um utilizador.

O Hootsuite tem um historial de ser uma empresa que responde rápido a este tipo de problemas de segurança. Pessoalmente, posso confirmar esta situação porque já encontrei no passado [2012] uma falha do mesmo género nesta empresa. Embora não fosse uma falha crítica [Persistent Self-XSS], forneceu-me a ideia da postura da empresa perante uma pequena falha de segurança. Obtive um bom feedback por parte da equipa de segurança do Hootsuite, que resolveu rapidamente o problema. Esta atitude do Hootsuite, contraria o que é habitual, onde o XSS é na grande parte das vezes desvalorizado pelas empresas afetadas com este problema de segurança.