Apenas un día después de que la propia NASA reconociera importantes vulnerabilidades frente a eventuales ciberataques, algunos errores persistentes de su propia página web salen a la luz gracias al aviso de un lector.
Alonso Vidales, experto en seguridad informática, descubrió el pasado mes de septiembre una vulnerabilidad soprendentemente básica en el sitio web oficial de la agencia espacial de EEUU.
Concretamente, se trata de una vulnerabilidad XSS (Cross Site Scripting), que consiste en la posibilidad de introducir y ejecutar código de 'scripting' (como JavaScript) en un sitio web ajeno a través, por ejemplo, de un formulario.
"El pasado mes de septiembre descubrí un 'bug' del que informé a la NASA, y que han 'parcheado' de forma bastante cutre en los comentarios, pero que persiste en la página", comenta Alonso. "Si se mete un 'tag stript' en lugar del nombre y los apellidos en la página, en lugar de mostrar la cuenta de este nombre se mostrará el 'tag script' con lo que se permitirá inyectar código JavaScript desde cualquier otra página".
Alonso afirma que no recibió contestación de la agencia estadounidense, aunque enseguida trataron de arreglarlo. "Para evitar que esta vulnerabilidad fuese crítica, en un primer momento dejaron de mostrar estos datos en los lugares en los que eran públicos -comentarios a fotografías, noticias y demás-; actualmente solicitan el nombre cada vez que comentas algo, verifican mediante JavaScript si no hay inyección (algo que considero estúpido), y luego el comentario pasa una verificación, que supongo será humana", apunta el experto.
Para demostrar que el 'bug' sigue ahí, Alonso nos pasa un usuario y una contraseña para entrar en una cuenta de My NASA que tiene el logo cambiado por el de 'Woody, el pájaro loco', una imagen ésta que se encuentra alojada en su propio servidor.
Alonso, que se dedica a una firma de seguridad informática radicada en Barcelona, ya alertó el pasado año de un agujero de seguridad en una página web promocional promovida por el Ministerio de la Vivienda sobre la renta básica de alquiler. Entonces, datos personales de cientos de personas que solicitaban información quedaron expuestos.
"Cuando avisas de un fallo de seguridad lo normal es que te den la callada como respuesta, y excepcionalmente te dan las gracias; lo normal es que traten de arreglar la vulnerabilidad con un parche y ya", asegura Alonso, que confiesa que descubre errores de este tipo con cierta frecuencia. ¿Cómo? "Pues me dedico a poner cosas raras en los formularios", comenta entre risas.
El Mundo
Alonso Vidales, experto en seguridad informática, descubrió el pasado mes de septiembre una vulnerabilidad soprendentemente básica en el sitio web oficial de la agencia espacial de EEUU.
Concretamente, se trata de una vulnerabilidad XSS (Cross Site Scripting), que consiste en la posibilidad de introducir y ejecutar código de 'scripting' (como JavaScript) en un sitio web ajeno a través, por ejemplo, de un formulario.
"El pasado mes de septiembre descubrí un 'bug' del que informé a la NASA, y que han 'parcheado' de forma bastante cutre en los comentarios, pero que persiste en la página", comenta Alonso. "Si se mete un 'tag stript' en lugar del nombre y los apellidos en la página, en lugar de mostrar la cuenta de este nombre se mostrará el 'tag script' con lo que se permitirá inyectar código JavaScript desde cualquier otra página".
Alonso afirma que no recibió contestación de la agencia estadounidense, aunque enseguida trataron de arreglarlo. "Para evitar que esta vulnerabilidad fuese crítica, en un primer momento dejaron de mostrar estos datos en los lugares en los que eran públicos -comentarios a fotografías, noticias y demás-; actualmente solicitan el nombre cada vez que comentas algo, verifican mediante JavaScript si no hay inyección (algo que considero estúpido), y luego el comentario pasa una verificación, que supongo será humana", apunta el experto.
Para demostrar que el 'bug' sigue ahí, Alonso nos pasa un usuario y una contraseña para entrar en una cuenta de My NASA que tiene el logo cambiado por el de 'Woody, el pájaro loco', una imagen ésta que se encuentra alojada en su propio servidor.
Alonso, que se dedica a una firma de seguridad informática radicada en Barcelona, ya alertó el pasado año de un agujero de seguridad en una página web promocional promovida por el Ministerio de la Vivienda sobre la renta básica de alquiler. Entonces, datos personales de cientos de personas que solicitaban información quedaron expuestos.
"Cuando avisas de un fallo de seguridad lo normal es que te den la callada como respuesta, y excepcionalmente te dan las gracias; lo normal es que traten de arreglar la vulnerabilidad con un parche y ya", asegura Alonso, que confiesa que descubre errores de este tipo con cierta frecuencia. ¿Cómo? "Pues me dedico a poner cosas raras en los formularios", comenta entre risas.
El Mundo
No hay comentarios:
Publicar un comentario