Top Comentaristas
ana (74)
are16ocean (73)
Espi (52)
albertttt (50)
DemonDary (32)
DJMeu (31)
Jay (29)
lorena (27)
albertttt (26)
bilboemi (24)
dani16 (23)
Pablo (22)
h3rio (20)
larisa (20)
Visitas a mi web (20)
Publican un pequeño fallo de seguridad en el envÃo de invitaciones desde la versión de Tuenti Móvil. El fallo de seguridad es del tipo XSS en el email, es decir, que si se introduce un código preparado en la dirección de correo, en vez de enviarse la invitación se ejecutarÃa la finalidad del código.
Por ejemplo, si desde http://m.tuenti.com/?m=friends&func=compose_external_invite se introduce como valor del email a@a.com<script>alert(’Alerta!’);</script> , se ejecutará el código javascript que muestra una ventana de alerta.
El fallo ya ha sido comunicado a Tuenti y seguramente sea solventado en las próximas horas.
Aunque es necesario el csfr del usuario, alguien podrÃa preparar direcciones malintencionadas con código javascript y mandarlas a sus posibles vÃctimas. En la web de su descubridor Dimitrix se puede encontrar más información.
Plantilla de Wordpress Themes y Internet Marketing Center | Traducida por Fernando
Esta web no pertenece a TUENTI TECHNOLOGIES
Datos LSSI -
Privacidad
4 respuestas " Bug de seguridad en el envÃo de invitaciones desde Tuenti Móvil "
18 Febrero 2010
Thank my friend^^
18 Febrero 2010
Información Bitacoras.com…
Valora en Bitacoras.com: Publican un pequeño fallo de seguridad en el envÃo de invitaciones desde la versión de Tuenti Móvil. El fallo de seguridad es del tipo XSS en el email, es decir, que si se introduce un código preparado en la dirección de …
18 Febrero 2010
El bug veo que ya está solucionado. ¿Por qué me pierdo siempre eso de probar los bugs de tuenti?
25 Febrero 2010
Y no era explotable. Solo afectaba al usuario que enviaba la invitacion, asi que como no te quieras atacar a ti mismo…