Menú principal

viernes, 7 de junio de 2013

HTML Injection en la web de soporte de Apple

La web de soporte de Apple tiene un HTML Injection el cual ha dado la vuelta al mundo de la seguridad en Internet. Un HTML Injection permite inyectar código HTML gracias a un parámetro mal filtrado, el cual permite representar dicho contenido en el sitio web. Este tipo de vulnerabilidades permiten que un atacante pueda reproducir contenido HTML en el navegador del cliente, pudiendo provocar el engaño en la información presentada a dicho cliente. En la siguiente imagen podemos visualizar que el HTML Injection existe, y así es como se ha ido distribuyendo en Internet.

Figura 1: HTML Injection en la web de soporte de Apple

El sitio web vulnerable se encuentra en la siguiente URL. Siendo el parámetro q el vulnerable a HTML Injection. En la imagen se puede visualizar la consulta realizada para obtener la imagen anterior, aquí el límite del atacante está en la creatividad que disponga a la hora del ataque.

Figura 2: Inyección HTML

Google ha aumentado el pago a los hackers que encuentren vulnerabilidades en sus aplicaciones o su navegador, ¿deberá Apple hacer lo mismo? Las empresas utilizan este medio para motivar a los investigadores de seguridad y atajar las vulnerabilidades lo antes posible, con el fin de evitar posibles pérdidas, o que la vulnerabilidad afecte a la privacidad/confidencialidad de los usuarios.

2 comentarios:

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares