Está cada vez mais difícil clicar em algum link que um amigo ou mesmo algum site publica. Cada vez mais e mais grandes sites estão apresentando falhas em seus sites, alguns com rapida correção como o exemplo do XSS que descobriram recentemente ( http://www.xssed.com/news/95/Google_SSL_page_vulnerable_to_XSS/ ) e outros ignoram os emails de contatos de quem as descobriu.

Apenas para frisar alguns nomes que correram a internet com falhas web essas últimas semanas

– Mcaffee

Até com um título agressivo “Mcaffe possibilitando espalhar malwares e fraudes”

Link: http://www.readwriteweb.com/archives/mcafee_enabling_malware_distribution_and_fraud.php

– Google

XSS na página https do google o que podemos considerar um problema gravissimo para roubo de sessões ( vale parabenizar a equipe do google que é muito rápida nas correções)

Link: http://www.xssed.com/news/95/Google_SSL_page_vulnerable_to_XSS/

– Foundstone Support

Está vulnerável ao Cross Site Framing

Link: http://skeptikal.org/screenshots/pci-asv_vulns/support.foundstone.com_XSF.png

Se vocês utilizam twitter e gostam de falhas web quem acompanha o http://twitter.com/XSSExploits verá varias falhas sendo comentadas em sites como:

– CNN

Link: http://edition.cnn.com/

– ESPN (ainda vulnerável até a escrita do artigo)

Link: http://search.espn.go.com/results?searchString=chat&ref=http://sports.espn.go.com/chat/chatESPN?event_id=13330%22%3E%3Cscript%3Ealert(%27XSS%27);%3C/script%3E&404=true

– CBS (ainda vulnerável até a escrita do artigo)

Link: http://www.cbs.com/primetime/the_unit/video/video.php?cid=446409735&pid=Vs6yBRgqMDQz0mt1iVgHowjlGhrM1xwp%22%3E%3Cscript%3Ealert(%27tst%27);%3C/script%3E&category=editorial&play=true%3Cscript%3Ealert(%27tst%27);%3C/script%3E

– NYT

O título já diz tudo “NYT perigoso para seu browser”

Link: http://stratusec.com/blog/2009/05/nytimescom-danger-for-your-browser/

– Vimeo (ainda vulnerável até a escrita do artigo)

Link: http://vimeo.com/tag:xss%27;alert(%27xss%27);v=%27

Se vocês querem ver mais grandes portais ainda deem uma olhada no twitter já citado o XSSExploits (diariamente ele posta algo novo ) . Aproveitando também estamos presentes no twitter http://www.twitter.com/nstalker .

Cuidado ao clicar em algo pois hoje em dia está dificil confiar em algum dominio friamente . Infelizmente programadores estão descuidando da validação de input de seus programas e XSS vem virando “uma praga” . O XSS muitos falam que é falha, outros dizem que não , até semanas atrás saiu na OWASP Brasil uma discussão falando se o XSS é uma falha ou vetor, caso tenham interesse nosso CTO participou da thread https://lists.owasp.org/pipermail/owasp-brazilian/2009-May/000589.html .

Independente o que você acha do XSS (Cross Site Scripting), se o mesmo é vetor ou falha, nos realmente gostariamos de convidá-los a testar o N-Stalker para descobrir se o site ou aplicação web da sua empresa está vulnerável, pois vetor ou vulnerabilidade a imagem da sua empresa está em jogo.

Você pode solicitar uma avaliação de nossa ferramenta através do nosso website http://nstalker.com/products/enterprise/request-evaluation .

Em caso de dúvida contate nosso suporte!

N-Stalker Research Labs Team