Pesquisador de segurança encontra vulnerabilidade no site da Telefônica e roda Doom

Um hacker/pesquisador de segurança da informação da empresa Experience Security chamado Joas Antonio, enviou para o Mundo Hacker um feito que ele realizou ao qual encontrou uma vulnerabilidade de Cross-site-scripting refletido no site da telefônica que permite que o atacante injete códigos em javascript para efetuar o roubo de cookie, rodar algum código no browser da vítima, fazer ataques de engenharia social ou até mesmo rodar algum jogo via browser.

E foi a última alternativa que esse pesquisador fez, com um código em javascript que resumidamente roda doom no site da vítima, o pesquisador conseguiu realizar esse feito no site da telefonica.

PoC:

Como ainda não foi permitido a divulgação completa da exploração, a única coisa que podemos trazer é essa imagem, mas o pesquisador cita que além de reportar a falha no Open Bug Bounty, contatou a telefônica para resolver a vulnerabilidade.

O Pesquisador completa que além de ter conseguido jogar o Doom, ele também conseguiu jogar Space Invaders e Super Mario.

Realmente a vulnerabilidade Cross-site-scripting (XSS) é uma vulnerabilidade que não se resume a um simples alert() como muitos ai consideram, e também não se resume a sequestro de sessão, pois com o XSS podemos rodar diversas coisas no browser da vítima e uma ferramenta que refuta esses argumentos é o BeEF-XSS, que é uma ferramenta propria para efetuar diversos tipos de ataque de XSS.

Em Fevereiro o Mundo Hacker também postou em primeira mão uma falha de (XSS) descoberta por pesquisadores da Access, que pela qual, também rodaram o game dentro de um dos sub-domínios da NASA.

Enfim, se quer evitar esse tipo de ataque em seu website, é recomendado usar os diversos filtros que impedem o xss, um web application firewall e sempre manter o seu ambiente auditado, pois a vulnerabilidade de xss ela se aprimora a cada dia mais.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.