Como sabréis, han rediseñado toda su web, y con los cambios que han realizado se han dejado un XSS! ¿Donde está el XSS? Donde suelen estar todos! En el buscador!! El vector utuilizado es uno que me gusta bastante:
";alert('XSS');</script>
Como veis, lo que ocurre es que al añadir nuestra url de búsqueda en un script y no filtrar comillas ni nada pues podemos cerrar la inicialización de la variable y colocar nuestro código JavaScript! Después de añadir nuestro código, simplemente cerramos el script para evitar de manera fácil y rápida errores de sintaxis en nuestro código que produzcan que no se ejecute.
El fallo ha sido reportado a Minijuegos.com y arreglado.. Link con el ejemplo:(http://goo.gl/4uVUU) (Ya no funciona)
Actualización: Ya se ha corregido el fallo. Muy simpatico el chico que contestó al email! Me han regalado gemas de Minijuegos!! :D
Espero les haya resultado interesante!
Hasta la próxima!!
Si no has obtenido respuesta... deberías esperar unos días a la respuesta antes de publicarlo.
ResponderEliminarAsí todo lo bueno que tiene encontrar un bug te lo cargas y te ganas mala fama.
Tienes razón.. Hacía tiempo que no escribía y como tenia un hueco para escribir un poco quería aprovecharlo.. :(
Eliminar