Estaba hurgando en uno de los programas menos conocidos de Google, Build with Chrome , cuando noté algo bastante divertido con su barra de búsqueda. Cuando escribe la carga útil XSS estándar <script>alert(1);</script>
, la notificación aparece como si el sitio fuera vulnerable a XSS. Pero aquí está lo gracioso. Si lo cambias en absoluto (como <script>alert(2);</script>
), entonces no sucede nada.
Después de analizar esto, lo único que se me ocurre es que algún desarrollador que se burlaba de Google pensó que sería divertido enviar a un grupo de personas por un camino de conejitos, e insertó una declaración if en la búsqueda que decía si alguien buscó <script>alert(1);</script>
, mostraría una notificación con '1'. ¿Es esta una sabia práctica de seguridad?
Me parece que hay dos lados en esto. Por un lado, si los atacantes están tan enfocados en una vulnerabilidad falsa, será menos probable que encuentren los reales. Pero, por otro lado, apuesto a que Google ha recibido más de mil informes para el programa de recompensas de errores solo por esta vulnerabilidad. Esto hace que sea más difícil extraer los buenos informes.
Entonces, aquí está mi pregunta: ¿es una buena práctica de seguridad usar vulnerabilidades falsas para protegerse, o es más trabajo de lo que ahorra?