lunes, 2 de diciembre de 2013

Redescubriendo XSS - Pentágono - OTAN.


Bueno, en esta ocasión este post esta dedicado a dar una explicación mas detallada acerca del autor o autores acerca de algunas explotaciones Cross Site Scripting que han sido de cierta forma interesantes y alarmantes por los sitios que las poseían.


Nota : Cabe resaltar que este post no hubiera sido hecho si la vulnerabilidad Cross Site Scripting del Pentágono no hubiera sido, de cierta forma apropiada por personas que no fueron quienes encontraron dicha vulnerabilidad, pero quienes la expusieron al público como un ataque propio de dicho equipo.


Vulnerabilidad Cross Site Scripting - Pentagono.


El dia 23 de Noviembre, quien les escribe estas líneas encontró una nueva vulnerabilidad Cross Site Scripting en un subdominio de los tantos que tiene la pagina del Pentágono (A ciencia cierta no estoy totalmente seguro si antes ya la había presentado, pues en el muchos subdominios del Pentágono he podido encontrar las mismas vulnerabilidades.). Pero en está ocasión no solo mostré la vulnerabilidad si no que la presente en mi facebook.





Nota : Al parecer la vulnerabilidad ya fue reparada. 


Posteriormente presente dicha vulnerabilidad en mi cuenta de twitter.  (Nota : Cabe resaltar que en mi cuenta de twitter solo presento el 30% o 40% de todo lo que presento en mi facebook.)



Ahora presento el porque de este post. Horas mas tarde un amigo mio comento en mi foto un enlace de un twitter, donde un alguien había reportado la vulnerabilidad Cross Site Scripting que yo había publicado en mi facebook. Esto ocurrió horas después de dicha publicación mía.




Me dispuse a visitar el twitter del team Inj3ct0r, con el fin de poder observar la hora de publicación de dicho tuit.




Bueno para una mejor visualización vamos a comparar los respectivos tuits.




Bueno creo que es redundante dar una explicación. Creo que la hora de publicación verifica de cierta forma la autoría de dicha vulnerabilidad.




Respecto a la vulnerabilidad de la NATO-OTAN que también tuvo transcendencia en los medios de comunicación, como los son el sitio web The Hacker News - Cyber Security and Hacking News Community y algunas otras muy similares a dichos portales. Esta vulnerabilidad la cual fue un Cross Site Scripting, también fue encontrada también por quien escribe estas líneas, pero ya hace algún tiempo, nos remontamos al año 2012. Dicha vulnerabilidad asi como la del Pentágono fue expuesta y liberada en su momento. Posterior a la exposición de dicha vulnerabilidad en mi facebook, el portal The Hacker News - THN y otros medios publicaron en uno de sus post que el team Inj3ct0r había descubierto una vulnerabilidad Cross Site Scripting en un subdominio de la OTAN. Lamentablemente con el pasar de los tiempos solo puedo mostrarle esta pequeña prueba, pero ya dejo a su criterio dicha la validez de dicha imagen.




Pueden observar que el portal The Hacker News así como otro sitio publicaron la vulnerabilidad el día 28 de Noviembre del 2012. Ahora, la imagen que poseo de dicha vulnerabilidad fue creada el 18 de Noviembre del 2012. Cabe resaltar que dicha vulnerabilidad al igual que la del Pentágono también fue expuesta en mi facebook. Particularmente encuentro mucha suspicacia entorno a dichas vulnerabilidades, pero bueno creo que merecía un post en mi blog.



Bueno creo que eso es todo por el momento, espero poder tener mas tiempo para poder seguir escribiendo mas post en mi humilde blog y de cierta forma poder compartir el poco conocimiento que tengo. Me despido y será hasta la próxima.






No hay comentarios:

Publicar un comentario