Anumex y su XSS


Anumex XSS Time xD

Primero saludos a los visitantes de mi blog, que aunque son pocos me alegra ver interes, bueno… pues todos conocemos este gran servicio de venta y compra por internet llamado Anumex, esta pagina en lo personal me ha sacado de muchos apuros y he vendido hasta lo que no por esta pagina ( risas )

Algo muy interesante que paso es que al tratar de recordar mi “login” descubri algo que jamas pensaria encontrar en una pagina del tal calibre y tales visitas ( okay anumex no es una pagina super wow! pero hasta el error mas pequeño es decepcionante ) me encontre con un viejo amigo, el ya conocido XSS, lo cual me causo un poco de gracia, mas que nada por los desarrolladores del sitio ¿¿ como se les pudo escapar tal error de principiantes?? pero bueno…

para los que no sepan que es XSS les dejo el un pequeño resumen del termino:

XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar (ej: VBScript), evitando medidas de control como la Política del mismo origen. Este tipo de vulnerabilidad se conoce en español con el nombre de Secuencias de comandos en sitios cruzados.

Es posible encontrar una vulnerabilidad XSS en aplicaciones que tenga entre sus funciones presentar la información en un navegador web u otro contenedor de páginas web. Sin embargo, no se limita a sitios web disponibles en Internet, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en sí. Tomado de Wikipedia: http://es.wikipedia.org/wiki/Cross-site_scripting

Bueno ya entendido esto dejare las imagenes de lo sencillo que fue hacerle XSS al sitio de Anumex desde su pagina de “Login” OJO! esta informacion la muestro con fines educativos, no intento afectar a segundas o a terceras personas ( y mucho menos a mi xD ) solo doy ejemplo de los peqeños errores que uno deja pasar por descuido.

Paso 1 ( provocar el error de sesion )
anumex-y-login
Paso 2 (Encontramos el error y la manera de hacer XSS en la pagina)
anumex-y-su-error1

Paso 3 ( Reemplazamos el texto marcado por un sencillo IFRAME de HTML, aqui puse el propio con la url del blog )

anumex-y-el-xss
Paso 4 y Final ( una vez insertado el IFRAME nos dirijimos a la nueva url que hemos creado al insertar el IFRAME en lugar del texto y este es el resultado )
resultado-anumex

y listo, asi fue como me di cuenta que Anumex tiene no solo este pequeño descuido de programacion, si no que varios mas, he enviado emails y notificaciones de cada error al area de mantenimiento del sitio pero aun no he recibido respuesta de ninguno de los bugs y tampoco he visto algun cambio, pero bueno es su sitio ellos pueden hacer con el lo que gusten ( es la verdad ) si eres desarrollador web ten encuenta estos detalles, por que aunque sean minimos pueden costarte mucho. Saludos a todos, hasta el siguiente post.

Etiquetas: , ,

Una respuesta to “Anumex y su XSS”

  1. Instituto Tecnologico de Celaya y su XSS | Pilares del Codigo Says:

    […] y llena de vida pero que hay detras de su sitio web?? hace algunos post vimos el mismo problema de Anumex y su XSS, pero esta vez solo por el gusto ( y mas que nada por que se me hace absurdo tener un sitio web con […]

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: