XSS en medios de comunicación
Las vulnerabilidades por Cross Site Scripting (XSS) son importantes. Sucede sin embargo que en muchos foros estos fallos son menospreciados e infravalorados.
Hay muchas maneras de aprovecharse de este tipo de vulnerabilidades: deface's, robo de cookies, ejecución de código, etc.
En este documento vamos a centrarnos en una nueva posibilidad a explotar que apenas ha sido comentada hasta la fecha. Se trata de aprovechar este tipo de vulnerabilidades en medios informativos y montar una infraestructura necesaria para publicar noticias falsas aparentemente ciertas y difundirlas con velocidad para sacar partido de las mismas obteniendo un beneficio económico a través de la venta de acciones en bolsa.
La única referencia al respecto que he conocido ha sido durante la realización de este documento y data de Marzo de este mismo año:
http://archives.neohapsis.com/archives/fulldisclosure/2008-04/0001.html
Realizaremos una prueba de concepto utilizando vulnerabilidades reales encontradas en los medios informativos Eweek y NetworkWorld.
Para llevar a cabo las pruebas crearemos un par de noticias falsas y las difundiremos de manera que las víctimas tomen estas noticias por ciertas al aparentemente provenir de los medios antes citados. La difusión de estas noticias provocan asímismo que las acciones de las empresas implicadas por la noticia varíen de valor. Anticipando este movimiento provocado (y controlado) nos beneficiaremos económicamente a través de la venta de acciones.
Las vulnerabilidades utilizadas en este documento son reales y han sido notificadas a los medios implicados antes de la publicación de este documento.
El documento puede descargarse desde la siguientes URL's:
XSS en medios de comunicación - en castellano
XSS in media comunication - en inglés
Agradecimientos:
Vicente Aceituno. Por la traducción en inglés del documento y por la idea inicial, porque la misma surgió en una conversación y no sabría decir si fue mia, suya o de ambos.
Etiquetas: xss
Comentario:
Bastante interesante esta forma de explotar el XSS. Muy seguramente un porcentaje altísimo de diarios y revistas online no advierten este tipo de ataque, que además de poderse aprovechar en el tema mencionado del mercado de valores, puede traer implicaciones aún mas graves teniendo en cuenta la alta credibilidad de estos medios.
PD: Excelente Blog, lo visito muy frecuentemente.
Saludos.
PD: Excelente Blog, lo visito muy frecuentemente.
Saludos.