lunes, 7 de noviembre de 2016

[Exploit].- Tumblr XSS

Hoy este exploit me ha parecido la mar curioso. Es un ejemplo de como al ver un fallo en un editor o en el mal funcionamiento de un servicio web y conseguir transformarlo en una vulnerabilidad.


Andrew Land,  usando solamente editor Markdown incorporado en Tumblr y un poco de conocimiento de JavaScript, ha conseguido ejecutar código JavaScript en un subdominio de un blog Tumblr. Lo mejor es que Tumblr ha dicho que es una característica de la página y no una vulnerabilidad, así que no lo piensa parchear. 

De esta manera aprovechad mientras podáis y no seáis muy malos: 

1 comentario:

  1. Increíble la respuesta de Tumblr. No coment :(. Poco pasa por estos mundos con personajes como estos. Snifff. Y Microsoft echando la culpa Google. 9 días para corregir un fallo de acto impacto y siguen sin sacar un parche al Cero Day. Albert, siento que no venga a cuento, pero tipo de noticias me abren las tripas.

    ResponderEliminar