[Aviso] Vulnerable a XSS EducaMadrid
Publicado: 26 Oct 2009, 17:42
Antes de todo transparencia:
Contacto:
Nombre: Daniel Dorado T. (DDT) Zyen
e-Mail: zyen.puedes@gmail.com
--
He comprobado que el portal de EducaMadrid es vulnerable a un ataque XSS (Cross-site scripting) mas concretamente en el área del Formulario para Ingreso de profesores, mas concretamente en estas dos lineas de la funcion "Log-In":
A Wikipedia me remito:
XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado.
[Informacion Completa: http://es.wikipedia.org/wiki/Cross-site_scripting ]
Aviso para que este "bug" sea reparado de inmediato, ya que he usado solamente scripts inofensivos sin permanencia, pero no todas las intenciones pueden ser buenas.
Adjunto capturas:
Espero haber ayudado.
Salud!
Hacktivist!
Contacto:
Nombre: Daniel Dorado T. (DDT) Zyen
e-Mail: zyen.puedes@gmail.com
--
He comprobado que el portal de EducaMadrid es vulnerable a un ataque XSS (Cross-site scripting) mas concretamente en el área del Formulario para Ingreso de profesores, mas concretamente en estas dos lineas de la funcion "Log-In":
Código: Seleccionar todo
<input name="my_account_login" type="text" id="usuario" value="">El problema es que es posible inyectar codigo en Value"" para por ejemplo, para crear un link para obtener cookies.<input name="my_account_password" type="password" id="contrasena" value="">
A Wikipedia me remito:
XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado.
[Informacion Completa: http://es.wikipedia.org/wiki/Cross-site_scripting ]
Aviso para que este "bug" sea reparado de inmediato, ya que he usado solamente scripts inofensivos sin permanencia, pero no todas las intenciones pueden ser buenas.
Adjunto capturas:
Espero haber ayudado.
Salud!
Hacktivist!