Nombres de álbum peligrosos en Tuenti

Se ha descubierto un nuevo fallo de seguridad en Tuenti que permite insertar código en los nombres de álbumes. Tal y como cuenta Radisec no se filtra correctamente el título que se le pone a un álbum, por lo que se puede insertar código que permite desde personalizar el título del álbum hasta la ejecución de un script que podría robar cuentas de Tuenti.

Por ejemplo, si insertamos código HTML para aumentar el tamaño del texto en el nombre del álbum, obtenemos que se aumente el título;

titulo-album-aumentado

Gracias Alejandro por el aviso 😉

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*Acepta la Política de Privacidad