Fraqueza XSS no jogo navegador ikariam.gr

O leitor do iGuRu.gr, J0k3R-GR, nos informou de uma fraqueza do XSS no jogo de navegador ikariam.gr. Citamos a notifica√ß√£o por email que foi enviada √†s pessoas respons√°veis ‚Äč‚Äčpelo site.

“Olhe para a foto, encontrei uma lacuna de seguran√ßa no seu site, √© XSS (prova na foto), pode ser usada para fins maliciosos”.

Captura 1

E a prova de vulnerabilidade

XSS

O link da imagem em alta resolução http://postimg.org/image/6lvaz49cn/

Continuando, J0k3R-GR declara:

Aproveitamos as vulnerabilidades do XSS inserindo código HTML ou Javascript em uma página. Você não filtra esse código, pois pode causar danos ao código do site.

Portanto, um usu√°rio mal-intencionado pode causar:

1. Roubo de dados pessoais

2. Roubar biscoitos

3. Altera√ß√Ķes que somente o administrador pode fazer

4. Publicidade

5. Levantando Shell

E muito mais.

Para verificar se uma página é vulnerável a ataques XSS, coloque-a em uma caixa de texto na página:

Muitas vezes, porém, isso não é suficiente.

O invasor pode precisar usar uma variedade de técnicas para ignorar a filtragem, como escrever:

E muito mais.

Agradecemos ao leitor do site J0k3R-GR, por nos notificar sobre a vulnerabilidade, mas tamb√©m √†s pessoas respons√°veis ‚Äč‚Äčpelo jogo do navegador, que, como parece a partir da data de resposta ao ticket, responderam imediatamente.