Foram divulgadas hoje falhas de segurança nos sites da
R7 da Emissora Record, nos sites de divulgação de programas
Baixaki e
Superdownloads, e inclusive no site do
Banco do Brasil, a maior instituição financeira do Brasil, descobertas pelo especialista em segurança Mario G. de Souza, autor do blog
http://netfuzzer.blogspot.com/ .
Tratam-se de falhas de
Cross-Site Scripting (XSS), as quais consistem numa vulnerabilidade em que são introduzidos comandos Javascript em páginas legítimas.
Esses comandos podem redirecionar usuários leigos a sites de
phishing (páginas que possuem intuito de estelionato) ou inclusive podem furtar dados pessoais contidos em
cookies da página vulnerável.
O especialista relata que notificou todos os administradores de sistema, sem qualquer resposta, alguns há mais de um ano.
Seguem abaixo algumas demonstrações desta falha:
Baixaki -
http://www.baixaki.com.br/busca.asp?z=1&cx=partner-pub-7019091094896260:86zzz47inzp&cof=FORID:9&sa=Pesquisar&q=m3u%22;%20%0D%0A%20//id=%22q%22%20%0D%0A%20%20alert(String.fromCharCode(88,83,83));;//
Superdownloads -
http://busca.superdownloads.com.br/busca.cfm?q=aaaaaaaa%27%7D%3B+alert%28%27XSS%27%29%3B+var+code+%3D+%7B%27xss%27%3A%27xss&a=Softwares
R7.com - http://busca.r7.com/s?_te=&q=xss%27};%20alert%28%27XSS%27%29;%20var%20code%20=%20{%27xss%27:%27xss
Olá,
ResponderExcluirVode poderia por favor atualizar o link do Blog para "http://netfuzzer.blogspot.com"?. O Google desativou minha conta.
Obrigado,
Mario
Caro Mario Gomes,
ResponderExcluirRealizei a modificação, e aproveito a oportunidade para parabenizá-lo pelo ótimo conteúdo de seu blog.
Tenho acessado-o constantemente para me manter atualizado das atuais falhas e exploits.
Ademais, me coloco à disposição para colaborar na divulgação de futuros estudos e postagens de seu blog.
Atenciosamente,
Wilfredo Enrique Pires Pacheco
Ola Wilfredo,
ResponderExcluirOtimo - ficou muito bom. Obrigado pela divulgaçao, ajudou muito nas visualizaçoes. E parabéns pelo Blog muito bom, informaçoes uteis e posts meu explicativos.
Obrigado mais uma vez!
Abraços,
Mario