¡La Informática al límite!
Skype vulnerable a Cross-Site Scripting
Levent Kayan (noptrix), ha reportado una vulnerabilidad de Cross-Site Scripting permanente en Skype que afecta a las versiones anteriores o iguales a la 5.3.0.120. Las plataformas afectadas son Windows XP, Vista, 7 y Mac OS X.
La vulnerabilidad es causada por una falta de validación de los datos introducidos en el campo del Perfil “Móvil” ( Mobile Phone ).
El código usado es:
"><iframe src='' onload=alert('mphone')>
PoC:
– http://www.noptrix.net/tmp/skype_xss.png
– http://www.noptrix.net/tmp/skype_linux.ogv
– http://www.noptrix.net/tmp/skype_winxp.ogv
– http://www.noptrix.net/tmp/skype_win7.avi
Original Advisory
http://www.noptrix.net/advisories/skype_xss.txt
| Este artículo fue publicado por WindHack el 15 julio, 2011 a las 9:58 PM, y está archivado en Inseguridad Informática, Noticias. Sigue las respuestas a esta entrada a través de RSS 2.0. Puedes dejar un comentario o enviar un trackback desde tu propio sitio. |
Aún no hay comentarios.
Aún no hay trackbacks.
Wapiti – Web application vulnerability scanner
hace 7 meses - 1 comentario
Wapiti es una aplicación que permite auditar la seguridad de sus aplicaciones web. No estudia el código fuente de la aplicación, pero va a escanear las páginas web de la webapp, en busca de scripts y de formas en las que se puedan inyectar datos. Posteriormente, Wapiti actúa como un fuzzer, inyectando payloads para ver si es vulnerable.…
Cross Site Scripting en jQuery 1.6
hace 8 meses - No hay comentarios
Se ha arreglado una vulnerabilidad que permitía realizar ataques Cross Site Scripting (XSS) en jQuery 1.6. La vulnerabilidad podía ser explotada en ciertos sitios que utilizaran la variable ‘location.hash’ en un contexto que no fuera el de Cascading Style Sheets (CSS). jQuery es una biblioteca o framework javascript de software libre y código abierto. Es compatible con la mayoría…
XSSPloit: Un escáner de vulnerabilidades XSS
hace 10 meses - 1 comentario
XSSploit es un escáner multi-plataforma de Cross-Site Scripting y exploiter escrito en Python. Se ha desarrollado para ayudar a descubrir y explotar las vulnerabilidades XSS en pruebas de penetración. Cuando se utiliza, XSSploit primero se arrastra todo el sitio web e identifica las formas encontradas. A continuación, analiza estas formas de detectar automáticamente las vulnerabilidades…
Google vulnerable a XSS – Inyección de código HTML
hace 1 año - No hay comentarios
Los chicos de InSecurity.Ro han descubierto una vulnerabilidad del tipo XSS en Google Maps ( maps.google.com ). Ya ha sido reportada y se espera que en el transcurso del día sea solucionada. El parámetro afectado y vulnerable es: Definir ubicación predeterminada ( Change default location ) Captura -mía-
«YouTube» es vulnerable a Cross-Site-Scripting
hace 1 año - 5 comentarios
Así es, YouTube el portal de vídeos de Google es vulnerable a XSS (Cross-Site-Scripting), o ejecución de código HTML mediante el cual es posible obtener las cookies del usuario y acceder completamente a su sesión de Gmail o cualquier otro servicio del grande de la Internet. Aquí hay una captura (Gracias a los chicos de…
