Cross site Scripting persistente en Blogger

Iniciado por wolfbcn, 25 Enero 2013, 00:59 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Se ha encontrado un problema de Cross-Site Scripting persistente en Blogger, que podría permitir a un atacante con permisos de escritura de blogs robar la cuenta de administrador. Google no considera el problema una vulnerabilidad en sí.

Blogger es un servicio de publicación de bitácoras en línea de Google. Lleva activo desde el año 2000 y se considera el precursor del uso de formularios web para la publicación de contenido.

Un ataque Cross-site Scripting o XSS se basa en que una página web no filtra correctamente ciertos caracteres especiales y permite ejecutar código javascript. Dentro del XSS existen dos tipos, el persistente y el no persistente.

Seguir leyendo : http://www.laflecha.net/canales/seguridad/noticias/cross-site-scripting-persistente-en-blogger
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

Binary_Death

Pues yo estoy de acuerdo con Google.
La vulnerabilidad no viene de afuera, sino de adentro. Lo que incluya el administrador en el código de su página es a su gusto, y para que los usuarios visitantes se protejan pues que usen algún software o algo, que hay muchos.
Si no permitieran la inclusión de código javascript se perdería mucha potencia a la hora de usar blogger.

Novlucker

Vuelve a leer, de lo que se habla es de elevación de privilegios por medio de ese XSS :)
Tú eres el administrador de un blog y me pones como colaborador, puedo escribir, y puedo incluir el código necesario para robar tu sesión, hacerme administrador y darte de baja a ti :)

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Binary_Death

La solución sería pues no ponerte de colaborador  ;D

$Edu$

Cita de: Binary_Death en 25 Enero 2013, 14:08 PM
La solución sería pues no ponerte de colaborador  ;D

Por eso mismo no lo considera una vulnerabilidad Google y opino igual que vos y que Google.


alister

¿como, como?
que hay quien dice que eso NO es una vulnerabilidad?
y que google opina igual?

no entiendo nada.......
Back 2 business!

#!drvy

No es una vulnerabilidad del sistema... es un fallo de usuario. Seria lo mismo, si en este foro estuviese permitido meter javascript -.-
No es problema de Google porque es el administrador el que decide si darle suficientes privilegios a un usuario o no.

De hecho a esto no se le puede llamar ni XSS... la razón es que Google permite javascript en sus blogs -.-
Pasa que hay que darle importancia y que los usuarios que no saben nada de eso alucinen..


PD: Blogger no seria blogger si no permitiese javascript...


Saludos

alister

Cita de: drvy | BSM en 25 Enero 2013, 19:30 PM
No es una vulnerabilidad del sistema... es un fallo de usuario. Seria lo mismo, si en este foro estuviese permitido meter javascript -.-
No es problema de Google porque es el administrador el que decide si darle suficientes privilegios a un usuario o no.

De hecho a esto no se le puede llamar ni XSS... la razón es que Google permite javascript en sus blogs -.-
Pasa que hay que darle importancia y que los usuarios que no saben nada de eso alucinen..


PD: Blogger no seria blogger si no permitiese javascript...


Saludos

AHH!!

ahora entiendo!

me vas a perdonar, pero soy un completo desconocedor de blogger, debe ser de los pocos productos de google que apenas he visto en años.

pero, en serio... permite javascript everywhere? para que? ahora vuelvo a decir "no entiendo nada", aunque sea por otro motivo... jajajaja
Back 2 business!