sábado, 2 de marzo de 2013

XSS Persistente en Steam

Hola de nuevo!
Hoy os traigo una vulnerabilidad XSS en la web de Steam. La vulnerabilidad se encuentra en los títulos de los anuncios de grupos. Así que si ponemos código en el título conseguiremos que se inyecte (esperad un poco para ver donde! Impacientes xD ). Aquí tenéis una imagen para explicar donde hay que poner el código.

Una vez tenemos nuestro anuncio de grupo, al aceptarlo todos los participantes del grupo recibirán una notificación del anuncio. Pero lo que nos interesa es el panel de novedades del usuario, ya que los usuarios que estén suscritos al grupo verán en su panel de novedades el anuncio del grupo y.. si, aquí está el XSS. Les dejo imagenes del XSS tanto usando un navegador como usando el cliente de Steam. ;)


Bueno, pues el fallo ha sido reportado a Steam y aún no ha sido corregido, pero un empleado de Steam ha respondido al reporte y me gustaría compartir su respuesta, a ver si es que yo soy un poco tonto o que pasa..

Y esto es todo por hoy, espero que les haya gustado :)

ATENCIÓN: No me hago responsable del uso de la información aquí publica. El único objetivo de este blog es informar y enseñar.