MySpace susceptible a amenazas a través de XSS

Durante el pasado mes se había reportado una vulnerabilidad en la conocida red social MySpace mediante la cual a través de un ataque del tipo XSS (Cross-Site Scripting) es posible diseminar malware o cometer otros actos maliciosos como el robo de perfiles.

XSS es un ataque del tipo scripting que busca explotar vulnerabilidades en el código de las aplicaciones que interpretan el lenguaje HTML, y si bien MySpace incorpora ciertas capas de protección para evitar este tipo de ataques como el bloque de la etiqueta script, la falla permite bypassear el bloqueo por lo que un atacante podría insertar y ejecutar un script malicioso de la siguiente manera:

A pesar de que a través de esta falla se expone la información, perfiles y seguridad de los usuarios, los responsables de MySpace parecen hacer la vista al costado ya que la vulnerabilidad aún no ha sido solucionada.

El problema fue reportado por su descubridor Daniel Lo Nigro el día 19 de Enero del corriente año, quien dejó un ejemplo del "script insertion" realizado, sin obtener respuesta alguna por parte de MySpace.

http://www.myspace.com/index.cfm?fuseaction=user.viewprofile&friendID=446695851

No es la primera vez, y seguramente no será la última, que MySpace sufre las consecuencias de la inseguridad a través de ataques de scripting. Lo grave del asunto es que se deja en completa disponibilidad la información, los perfiles y la seguridad de sus usuarios.

# pistus