Nombres de álbum peligrosos en Tuenti
Se ha descubierto un nuevo fallo de seguridad en Tuenti que permite insertar código en los nombres de álbumes. Tal y como cuenta Radisec no se filtra correctamente el título que se le pone a un álbum, por lo que se puede insertar código que permite desde personalizar el título del álbum hasta la ejecución de un script que podría robar cuentas de Tuenti.
Por ejemplo, si insertamos código HTML para aumentar el tamaño del texto en el nombre del álbum, obtenemos que se aumente el título;
Gracias Alejandro por el aviso 😉
Deja una respuesta