Hace un tiempo que hablamos de la mala configuración de seguridad que tenía la previsualización web embebida desde Twitter para iPhone. En ella, se producía un Address Bar Spoofing que no permitía al usuario visualizar correctamente la URL mientras con lo que los atacantes podrían sacarle provecho por medio de ataques de Phishing.
Este bug fue corregido en la siguiente versión de esta herramienta, y actualmente Twitter para iPhone muestra la URL de esta manera.
Como se puede ver, el espacio no da para que salga toda la URL, lo que en caso de una vulnerabilidad de XSS que se produzca en un parámetro al final de la URL será difícil de detectar, pero al menos lo más flagrante, la suplantación de host, sí que queda claramente a la vista.
No hay comentarios:
Publicar un comentario