La web de soporte de Apple tiene un HTML Injection el cual ha dado la vuelta al mundo de la seguridad en Internet. Un HTML Injection permite inyectar código HTML gracias a un parámetro mal filtrado, el cual permite representar dicho contenido en el sitio web. Este tipo de vulnerabilidades permiten que un atacante pueda reproducir contenido HTML en el navegador del cliente, pudiendo provocar el engaño en la información presentada a dicho cliente. En la siguiente imagen podemos visualizar que el HTML Injection existe, y así es como se ha ido distribuyendo en Internet.
Figura 1: HTML Injection en la web de soporte de Apple |
El sitio web vulnerable se encuentra en la siguiente URL. Siendo el parámetro q el vulnerable a HTML Injection. En la imagen se puede visualizar la consulta realizada para obtener la imagen anterior, aquí el límite del atacante está en la creatividad que disponga a la hora del ataque.
Figura 2: Inyección HTML |
Google ha aumentado el pago a los hackers que encuentren vulnerabilidades en sus aplicaciones o su navegador, ¿deberá Apple hacer lo mismo? Las empresas utilizan este medio para motivar a los investigadores de seguridad y atajar las vulnerabilidades lo antes posible, con el fin de evitar posibles pérdidas, o que la vulnerabilidad afecte a la privacidad/confidencialidad de los usuarios.
El artista es Alberto Ticote. Y ni lo habeis mencionado.
ResponderEliminar«presentada ha dicho cliente»
ResponderEliminar