Hakin9 es una revista de seguridad con más de 10 años de existencia, ellos se definen como the biggest IT security magazine in the world. Hace un par de días se publicó en Full Disclosure un Reflected XSS que afecta a este sitio web, el cual aún no ha sido corregido. La publicación fue enviada […]
Hakin9 es una revista de seguridad con más de 10 años de existencia, ellos se definen como the biggest IT security magazine in the world. Hace un par de días se publicó en Full Disclosure un Reflected XSS que afecta a este sitio web, el cual aún no ha sido corregido.
La publicación fue enviada por Pieter de IronSecurity y corresponde a una inyección de código html/javascript mediante la variable “s“, la cual no filtra correctamente el valor que se le asigna, permitiendo realizar la siguiente prueba de concepto:
El sitio está montado sobre el CMS WordPress, que según su readme.html se encuentra bajo la versión 3.4.2
sin embargo, al parecer algo no se actualizó ya que la vulnerabilidad XSS que afecta al buscador corresponde a una versión antigua ya corregida. Es problable que corresponde a un desarrollo interno de la revista hakin9 el cual no está validando ni escapando correctamente el valor de esa variable.
Publicación en IronSecurity.nl
El día de ayer se dio a conocer un ataque que sufrio uno de los sitios/foros de Adobe, mediante el cual se robó información de cerca de 150 mil usuarios. A Adobe no le quedó más opción que cerrar dicho foro e investigar sobre el hecho.
Alsacia es una empresa que opera el transporte publico en Santiago de Chile (Transantiago), quienes han lanzado un concurso para regalar y premiar a los concursantes con viajes gratis y otros productos. Para participar de este concurso piden registrarse y entregar una serie de datos personales.