domingo, 16 de septiembre de 2007

Ataque XSIO

Hay una "nueva" o conocida, pero en la que no se ha hablado antes, vulnerabilidad llamada "XSIO" o lo que es lo mismo Cross Site Image Overlaying que se produce a causa del atributo style, nos permite un nuevo modo de hacer defaces..que se van a reir de ti como los hagas con estas cosas... o phising mediante links en imagenes, hay algunos sitios en los que para ir a algun lado hay que apretar en la imagen...¿que pasaria si en vez de la imagen esa vieramos una nuestra con nuestra sitio para hacer phising?Pues sencillo se podrian sacar datos como hacen actualmente y hacer que el usuario vea lo mismo cuando no lo es.

Le veo el problema a la vulnerabilidad de que en muchos sitios no va a funcionar ya que necesita para funcionar o HTML habilitado en algun lugar...pocos lo hacen, o mediante CSS que o eres admin, o en algunos blog esta esa posibilidad pero seguramente no funcione en muchos sitios aun asi en este funciona jejej, la cosa es que si pones para que vaya a una web...tendria que tener un sitio donde redireccione paginas web, ya que sino quedaria algo asi: http://trancek.blogspot.com/http://yashira.org y daria un error .
Lo probe en algunos sitios y algunos ya traen proteccion por si intentas hacer algo asi aun si puede ver e intentar hacer cosas malignas, es solo tener imaginacion.

Ejemplo:


Al hacer un post por ejemplo con el codigo:

{img src=http://img514.imageshack.us/img514/163/dibujobi1.jpg style=position:absolute;right:350px;top:90px;/}

{} es lo mismo que <> es que esto tmb es vulnerable...jejeje

Solo lo probe ahi, una web que me encontre por ahi, y nada mas probarlo lo borre soy buena gente.
Asi que los que lean esto lo prueben con sus webs por si acaso y no hagais muchas maldades, con conocimientos del html se te ocurriran mas cosas que hacer.

Articulo: XSIO