Cross site scripting vulnerabilidades son erróneamente consideradas sin importancia, pero podrían permitir a un atacante inyectar un script de cliente en páginas web visitadas por las víctimas.

A cross-site scripting (XSS) puede ser explotada por los hackers para eludir los controles de acceso más allá de las excepciones.

Un egipcio información asesor de seguridad Ebrahim Hegazy (Zigoo) ha encontrado una vulnerabilidad XSS en el dominio de licencia Avira. license.avira.com

Pero en lugar de explotarla de una manera normal “alert (‘MyName’)” cosas y luego informar, Él decidió demostrar al equipo de seguridad de Avira en un modo diferente a los propósitos de mostrar cómo podría una vulnerabilidad XSS permite a los hackers para robar cuentas de usuario con un conjunto de datos sin cifrar!

Para demostrar este ataque ha creado cuatro archivos:

- avira.html – la página de acceso falsa
-log.php – el registrador que registrará las credenciales como texto sin cifrar en el archivo txt
- avira.txt credenciales se encuentran aquí
done.html – mostrará un mensaje de felicitación para engañar a los usuarios

En el siguiente video es la explicación de la metodología de ataque:
Según Ebrahim Hegazy, El Equipo de Avira respondió rápidamente y solucionó el error en poco tiempo. Para aquellos que consideran la vulnerabilidad XSS como la vulnerabilidad de gravedad bajo, ahora usted puede cambiar su opinión.

Créditos: Ebrahim Hegazy es una información de seguridad asesor @Starware Group, reconocido por Google, Microsoft y eBay para encontrar y reportar múltiples vulnerabilidades en sus aplicaciones.

Acerca de Mi Dylan Irzi

Colombiano, WebMaster, Independent Security Researcher , Apasionado por la Seguridad Informatica, #WhiteHat. Programador. Co-Fundador y Dueño de WebSecurityDev.com

Noticias Seguridad XSS