Cross site Scripting persistente en Blogger

wolfbcn · 25 Enero 2013, 00:59 AM

Se ha encontrado un problema de Cross-Site Scripting persistente en Blogger, que podría permitir a un atacante con permisos de escritura de blogs robar la cuenta de administrador. Google no considera el problema una vulnerabilidad en sí.

Blogger es un servicio de publicación de bitácoras en línea de Google. Lleva activo desde el año 2000 y se considera el precursor del uso de formularios web para la publicación de contenido.

Un ataque Cross-site Scripting o XSS se basa en que una página web no filtra correctamente ciertos caracteres especiales y permite ejecutar código javascript. Dentro del XSS existen dos tipos, el persistente y el no persistente.

Seguir leyendo : http://www.laflecha.net/canales/seguridad/noticias/cross-site-scripting-persistente-en-blogger

Binary_Death · 25 Enero 2013, 13:37 PM

Pues yo estoy de acuerdo con Google.
La vulnerabilidad no viene de afuera, sino de adentro. Lo que incluya el administrador en el código de su página es a su gusto, y para que los usuarios visitantes se protejan pues que usen algún software o algo, que hay muchos.
Si no permitieran la inclusión de código javascript se perdería mucha potencia a la hora de usar blogger.

Novlucker · 25 Enero 2013, 13:47 PM

Vuelve a leer, de lo que se habla es de elevación de privilegios por medio de ese XSS

Tú eres el administrador de un blog y me pones como colaborador, puedo escribir, y puedo incluir el código necesario para robar tu sesión, hacerme administrador y darte de baja a ti

Saludos

Binary_Death · 25 Enero 2013, 14:08 PM

La solución sería pues no ponerte de colaborador

$Edu$ · 25 Enero 2013, 16:37 PM

Cita de: Binary_Death en 25 Enero 2013, 14:08 PM
La solución sería pues no ponerte de colaborador

Por eso mismo no lo considera una vulnerabilidad Google y opino igual que vos y que Google.

el-brujo · 25 Enero 2013, 18:46 PM

http://underc0de.org/foro/hacking-showoff/xss-persistente-blogger-13978/

alister · 25 Enero 2013, 19:00 PM

¿como, como?
que hay quien dice que eso NO es una vulnerabilidad?
y que google opina igual?

no entiendo nada.......

#!drvy · 25 Enero 2013, 19:30 PM

No es una vulnerabilidad del sistema... es un fallo de usuario. Seria lo mismo, si en este foro estuviese permitido meter javascript -.-
No es problema de Google porque es el administrador el que decide si darle suficientes privilegios a un usuario o no.

De hecho a esto no se le puede llamar ni XSS... la razón es que Google permite javascript en sus blogs -.-
Pasa que hay que darle importancia y que los usuarios que no saben nada de eso alucinen..

PD: Blogger no seria blogger si no permitiese javascript...

Saludos

alister · 25 Enero 2013, 20:34 PM

Cita de: drvy | BSM en 25 Enero 2013, 19:30 PM
No es una vulnerabilidad del sistema... es un fallo de usuario. Seria lo mismo, si en este foro estuviese permitido meter javascript -.-
No es problema de Google porque es el administrador el que decide si darle suficientes privilegios a un usuario o no.

De hecho a esto no se le puede llamar ni XSS... la razón es que Google permite javascript en sus blogs -.-
Pasa que hay que darle importancia y que los usuarios que no saben nada de eso alucinen..

PD: Blogger no seria blogger si no permitiese javascript...

Saludos

AHH!!

ahora entiendo!

me vas a perdonar, pero soy un completo desconocedor de blogger, debe ser de los pocos productos de google que apenas he visto en años.

pero, en serio... permite javascript everywhere? para que? ahora vuelvo a decir "no entiendo nada", aunque sea por otro motivo... jajajaja