Falha em HOTWORDS (XSS em Forums)

fevereiro 06, 2011   Samukt   9 Comments

Olá amigos.
Hoje estava surfando na internet quando descobri uma vulnerabilidade em forums com o pluguin HOTWords.
Com ele é possivel injetar XSS nos sites.

Como isso é possivel?
O Hotwords é injetado no site pelas palavras ex: compras ele abre anuncios sobre compras, mas quando injetamos um código HTML que irá aparecer estas palavras ele automaticamente faz isso aparecer no site.
Num site que não permite HTML nos posts ao você digitar algum código com “alt” e a word que o hotword busca anuncios ele exibira o anuncio e o codigo.

Explorando:

<iframe src="httP://www.site.com/deface" width="100%" height="600" alt="computer buy shopping car money and compras carro site">

O resultado seria um iframe e quando você passase o mouse em cima iria aparecer o alt “computer buy shopping car money and compras carro site” pelo filtro do site ele não apareceria, mas a vulnerabilidade do HOTWORD faz ele ser executado.

Correção:

Alice – Hotwords
Olá pessoal, tudo bem?
Esta falha da HOTWords, descrita no fórum não procede. A ferramenta não imprime em tags de iframe e o script é livre de qualquer tipo de exploit via tags HTML.
Caso vocês tenham alguma dúvida sobre um site ou blog, ou suspeitem que alguém esteja utilizado de práticas ilegais, pedimos para que entrem em contato no e-mail denuncie@hotwords.com.br.
Estamos à disposição para esclarecer qualquer suspeita ou dúvida sobre a HOTWords!
Muito obrigada!
Equipe HOTWords

Autor: SAMUKT
Exclusivo: www.inw-seguranca.com

Posted in: Pen-Test   Tags: , , , ,

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *

*

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

  • Publicidade