Sitio ruso patea el avispero XSS

Todo empezó con un reto: encontrar vulnerabilidades XSS en sitios web. De hecho, son tan habituales que pocos sitios se libran de ellas y todo consiste en saber buscarlas.

Lo que quizás no esperaba la gente de SecurityLab era la envergadura de los sitios que iban enseguida a revelarse vulnerables: Adobe, eEye, IBM, Sun, F-Secure, Symantec, Cisco, MSN, Oracle, Google, Netscape, Digg, PayPal, Security Focus, Verisign, Snort... ¡e incluso la mismísima NSA!

Algunos de los sitios afectados ya han reparado los fallos; otros, aún no...

Algunos asistentes al último Black Hat coincidían en que no existen redes seguras, puesto que, con independencia del sistema operativo y el cuidado que se ponga, existen individuos que siempre van a lograr entrar donde se propongan.

El experimento de SecurityLab que comentamos, donde incluso sitios encargados de acreditar a los demás se muestran ellos mismos vulnerables, no es más que otra muestra de que la seguridad en Internet es una quimera.

Para saber más sobre XSS:

• The Cross Site Scripting (XSS) FAQ (una FAQ asequible, aunque bastante genérica)
• XSS (Cross Site Scripting) Cheat Sheet (un recurso más técnico, pero también más práctico)