Sitios «Hacker Safe» propensos a ataques XSS

mcafeeHacker Safe, una certificiación de la empresa de seguridad McAfee, se ha puesto en duda ahora que un hacker reportó que ha encontrado diversos sitios Web bajo este certificado que son vulnerables a ataques del tipo Cross-Site Scripting (XSS).

Para que un sitio pueda adquirir un certificado Hacker Safe es necesario que cumpla con ciertos requisitos de seguridad, para ello se utiliza un servicio que se encarga de escanear puertos, revisar la seguridad del servidor, comprobar que no existan agujeros de inyección SQL, etc. Sin embargo, dentro de estos requisitos, la protección XSS no es algo requerido ya que la empresa considera que este tipo de problema no es tan grave como la inyección SQL u otras vulnerabilidades.

Russ McRee, quien ha encontrado una vulnerabilidad en cinco sitios Web con el logotipo Hacker Safe, ha reportado sobre este problemas a los administradores de los sitios y además ha publicado un vídeo en donde demustra que cómo puede inyectar código Javascript, leer cookies de usuarios y mostrar páginas terceras dentro de un iframe en estos sitios aparantemente seguros.

(vía: TechTear)