Español | English
rss facebook linkedin Twitter

XSIO

Recientemente se ha publicado un artículo en el que se explica cómo explotar una vulnerabilidad a la que su autor ha bautizado como XSIO.

Esta vulnerabilidad explota el hecho de poder subir una imagen a una página web, con un código extremadamente simple (véase ejemplo) y así poder inyectar una nueva imagen fraudulenta.

Ejemplo de código:

<a h r e f = h t t p : / / d i s e n c h a n t . c h>

<img s r c = e v i l . g i f

s t y l e = p o s i t i o n : a b s o l u t e ; l e f t :1 2 3 px ; t o p :1 2 3 px ; />

</a>

El problema de poder inyectar una imagen, con una redirección a otra página es que puede ser algo tan sencillo y poco “malintencionado” como gastar una broma, como realizar ataques más peligrosos hacia los usuarios que visualizan la página web vulnerable.

Posibles ataques pueden ser, desde colocar una imagen que sustituya toda la página web por otra fraudulenta, desinformación incluyendo dentro de la imagen datos erróneos, phishing al redirigir al usuario desde un dominio supuestamente seguro a otro fraudulento, etc…

Es destacable cómo se buscan cada día nuevas vulnerabilidades para poder ser explotadas, pero en contrapartida cómo se estudian éstas para ser solventadas y predecir otras futuras en nuevas versiones de diferentes productos.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login