feb

Bug de seguridad en el envío de invitaciones desde Tuenti Móvil

Publicado por: tuentiadictos.es en Novedades Tuenti, Seguridad Tuenti

Publican un pequeño fallo de seguridad en el envío de invitaciones desde la versión de Tuenti Móvil. El fallo de seguridad es del tipo XSS en el email, es decir, que si se introduce un código preparado en la dirección de correo, en vez de enviarse la invitación se ejecutaría la finalidad del código.

alerta-tuenti-email

Por ejemplo, si desde http://m.tuenti.com/?m=friends&func=compose_external_invite se introduce como valor del email a@a.com<script>alert(‘Alerta!’);</script> , se ejecutará el código javascript que muestra una ventana de alerta.

El fallo ya ha sido comunicado a Tuenti y seguramente sea solventado en las próximas horas.

Aunque es necesario el csfr del usuario, alguien podría preparar direcciones malintencionadas con código javascript y mandarlas a sus posibles víctimas. En la web de su descubridor Dimitrix se puede encontrar más información.

Te puede interesar:

4 respuestas " Bug de seguridad en el envío de invitaciones desde Tuenti Móvil "

"Bug de seguridad en el envío de invitaciones desde Tuenti Móvil" fue publicada por tuentiadictos.es y tiene 4 comentarios

Dimitrix dijo,
18 febrero 2010

Thank my friend^^

Bitacoras.com dijo,
18 febrero 2010

Información Bitacoras.com…

Valora en Bitacoras.com: Publican un pequeño fallo de seguridad en el envío de invitaciones desde la versión de Tuenti Móvil. El fallo de seguridad es del tipo XSS en el email, es decir, que si se introduce un código preparado en la dirección de …