Ataques XSS famosos sobre JavaScript [cerrado]

3

Estoy a punto de graduarme en "Informática", y estoy escribiendo una tesis sobre las vulnerabilidades de Javascript . En particular, estoy analizando las vulnerabilidades de JS que permiten los ataques XSS.

Me gustaría informar en un capítulo específico sobre un ataque famoso que explotó las vulnerabilidades de JS. ¿Alguien sabe la existencia de tales ataques ocurridos en la historia reciente?

    
pregunta Luigi Orefice 29.07.2015 - 15:50
fuente

4 respuestas

3

El más famoso tiene que ser el Samy worm :

  

Samy (también conocido como JS.Spacehero) es un gusano XSS diseñado para   propagarse por el sitio de redes sociales de MySpace escrito por Samy   Kamkar. A solo 20 horas de su lanzamiento del 4 de octubre de 2005, durante   un millón de usuarios habían corrido la carga útil haciendo que Samy fuera el más rápido   Virus de propagación de todos los tiempos.

     

El gusano en sí era relativamente inofensivo, llevaba una carga útil que   mostraría la cadena "pero, sobre todo, samy es mi héroe" en una   Página de perfil de MySpace de la víctima. Cuando un usuario ve esa página de perfil,   La carga útil sería luego replicada y plantada en su propio perfil.   Página continuando la distribución del gusano. MySpace tiene desde   Aseguró su sitio contra la vulnerabilidad, sin embargo cierto MySpace   Los perfiles siguen mostrando evidencia del gusano hasta el día de hoy.

También hubo xssed que mantiene un registro de ataques reales, sin embargo, parece que ya no se mantiene.

    
respondido por el SilverlightFox 29.07.2015 - 15:56
fuente
1

Aquí estás:

  • Lista de 20 sitios web famosos que se pueden enviar a XSS
      

    20 sitios web famosos y vulnerables a los ataques Cross Site Scripting (XSS) que incluyen periódicos famosos, agencias federales y el restaurante de comida rápida más grande del mundo.

  • Ataques notables en 2011
      

    Básicamente, la misma pregunta, pero respondida en 2011.

  • También S! consiguió pwned
      

    El popular proveedor de correo web Yahoo ha sido golpeado con un nuevo ataque basado en correo electrónico que toma el control de las cuentas de las víctimas. Bitdefender Labs descubrió la campaña en curso hoy y una vez más advierte a los usuarios sobre los peligros de hacer clic en los enlaces de spam.

respondido por el user69377 29.07.2015 - 15:52
fuente
0

Como respuesta rápida y directa, puede ver estos famosos gusanos JS que se han logrado mediante la explotación de las vulnerabilidades de XSS:

  1. Justin.tv worm
  

La vulnerabilidad de las secuencias de comandos en sitios cruzados que fue explotada fue que   El campo de perfil "Ubicación" no se ha saneado correctamente antes de su   inclusión en una página de perfil.

  1. Orkut "Bom Sabado" gusano
  

Orkut, un sitio de redes sociales, también fue golpeado por un gusano XSS. Infectado   los usuarios reciben un mensaje que contiene las palabras "Bom Sabado" (portugués,   "Feliz sabado"). Google aún tiene que comentar sobre la situación.

Encontrará más ejemplos del mundo real, y reciente , aquí, de acuerdo con los criterios que desee:

También es interesante leer: error de XSS en la página de inicio de sesión de hotmail .

    
respondido por el user45139 29.07.2015 - 16:01
fuente
0

Las otras respuestas son geniales, pero pensé en compartir una historia adicional que recuerdo - enlace

Lance James y su equipo encontraron un XSS cuando enfrentaron un desafío generado por el CEO de StrongWebMail (al estilo de LifeLock ). Fueron capaces de ganar exitosamente el desafío mediante el uso del XSS (el CEO se cayó por el ataque en un correo electrónico de phishing que fue diseñado específicamente para él), pero el CEO renegó cuando el premio debía ser otorgado. El reclamo del CEO fue que el XSS no es piratería, y por lo tanto no calificó para el premio.

Finalmente, a Lance y al equipo se les pagó el premio de $ 10,000, con más detalles aquí - enlace

    
respondido por el atdre 29.07.2015 - 17:01
fuente

Lea otras preguntas en las etiquetas