Hace tiempo que no actualizo este blog (Motivos, excusas, pretextos, blabladas, etc aquí) jeje :P, pero venga que la tierra jamas se detuvo por ello, asi que a lo que se viene...
Y Esta vez les traigo un clickjacking que hace tiempo encontre en youtube, Sí, en youtube (Reportado, pero aún no corregido), y bueno, para los que no sepan a lo que me refiero con esa obscura palabra ("Clickjacking") pueden echar un ojo a este post y darse una idea :).
¿Quedo claro? Sí, ok, pues entonces ahora entenderas lo peligroso (O conveniente) que puede llegar a ser si una falla como esta permite que pesques un auto-subscribe a un canal especifico de youtube.
Pero bueno para no alargar el tema, imagina que tú eres un usuario activo en este sitio web (Youtube), sea como audiencia o creador de contenido ("Youtuber"), es igual, eso no importa, el chiste es que tu eres un usuario activo en dicha red y la gran mayoría de veces tienes abierta tu sesión en youtube y un día como cualquier otro te dispones a mirar e ir a comentar el nuevo vídeo de tu youtuber favorito, pero ¡epa! antes de eso te han enviado por correo un enlace a un vídeo viral y ¡pum! haces clic, notas que no hay nada raro y das play al vídeo,ya esta, ahora automáticamente quedaste suscrito a un canal de youtube, tú no lo sabias, pero ese portal tenia ese objetivo, y detrás de todo el amarillismo, se encontraba un script a la espera de tu clic, y bueno, no es tan preocupante si lo ves desde la perspectiva de audiencia, ya que solo quedas suscrito a un canal o con la suscripción cancelada a dicho canal sin tu consentimiento, pero ¿y si eres creador de contenido? la cosa ya cambia, porque si bien esta falla te puede dar mas suscriptores de igual manera te los puede quitar, así que buzos, ya saben que son requisitos el tener iniciada sesion en un servicio de google y visitar un enlace para explotar esta falla, así que la próxima vez que inicien sesión recuerden no visitar ningún enlace o pueden terminar como este youtuber de asombrados (No aseguro que haya sido víctima de esta falla, pero existe la posibilidad) :).
Y Esta vez les traigo un clickjacking que hace tiempo encontre en youtube, Sí, en youtube (Reportado, pero aún no corregido), y bueno, para los que no sepan a lo que me refiero con esa obscura palabra ("Clickjacking") pueden echar un ojo a este post y darse una idea :).
¿Quedo claro? Sí, ok, pues entonces ahora entenderas lo peligroso (O conveniente) que puede llegar a ser si una falla como esta permite que pesques un auto-subscribe a un canal especifico de youtube.
Pero bueno para no alargar el tema, imagina que tú eres un usuario activo en este sitio web (Youtube), sea como audiencia o creador de contenido ("Youtuber"), es igual, eso no importa, el chiste es que tu eres un usuario activo en dicha red y la gran mayoría de veces tienes abierta tu sesión en youtube y un día como cualquier otro te dispones a mirar e ir a comentar el nuevo vídeo de tu youtuber favorito, pero ¡epa! antes de eso te han enviado por correo un enlace a un vídeo viral y ¡pum! haces clic, notas que no hay nada raro y das play al vídeo,ya esta, ahora automáticamente quedaste suscrito a un canal de youtube, tú no lo sabias, pero ese portal tenia ese objetivo, y detrás de todo el amarillismo, se encontraba un script a la espera de tu clic, y bueno, no es tan preocupante si lo ves desde la perspectiva de audiencia, ya que solo quedas suscrito a un canal o con la suscripción cancelada a dicho canal sin tu consentimiento, pero ¿y si eres creador de contenido? la cosa ya cambia, porque si bien esta falla te puede dar mas suscriptores de igual manera te los puede quitar, así que buzos, ya saben que son requisitos el tener iniciada sesion en un servicio de google y visitar un enlace para explotar esta falla, así que la próxima vez que inicien sesión recuerden no visitar ningún enlace o pueden terminar como este youtuber de asombrados (No aseguro que haya sido víctima de esta falla, pero existe la posibilidad) :).
- Inicia sesión en algún servicio de google (Youtube, blogger, gmail, etc)
- Regresa a esta entrada y haz clic aquí
- Haz clic en cualquier parte de la ventana que te abrió el enlace anterior y listo, ahora estas suscrito a mi canal y eres el afortunado suscriptor #googol, te acabas de ganar un auto... subscribe, ok no :P.
Bueno, ahora que no tengo más que contarles, me despido y ¡happy hacking!, ah, se me olvidaba, pueden cambiar el valor del parametro get id_c y probar con otros canales (Y no, no es vulnerable a XSS) ahora si, hasta la próxima :).
No hay comentarios.:
Publicar un comentario