Existencia De Iconos

He estado creando un sistema operativo en linea basado completamente en HTML, y para esto necesito algunos iconos. Entre a un portal en el que presenta unos iconos muy buenos y cuando voy a buscar mas me doy cuenta que este campo de busqueda puede ser vulnerable a ataques XSS, asi que entre el metodo <PLAINTEXT> el cual funciono a la perfeccion.

UnidadCielo

Hoy estuve jugando un poco con mi cuenta de Windows Live y encontre el Windows Live Skydrive el cual nunca he usado. Entre vi como funcionaba la aplicacion y me puse a trabajar haber si encontraba alguna vulnerabilidad. Primero cree un archivo .txt vacio, osea no escribi algo en el asi que tiene 0 bytes. Luego cree otro archivo .txt el le escribi un solo caractér. Trate de subir el primero y la pagina siempre se queda en Uploading... y de ahi no sale. Luego para verificar que no fuera un problema de mi ordenador utilize el otro archivo el cual casi al instante se subio al servidor. Esto, no necesariamente sea una vulnerabilidad es mas bien un bug o un error. Traten de hacer esto y dejen su comentario de como les fue.

Busqueda En Español

Hoy estuve buscando por algun portal que tuviera una vulnerabilidad XSS y encontre uno en el que la busqueda era solo para cosas en español o de España. Busque el XSS utilizando el metodo de <PLAINTEXT>; para verificar. Cuando de repente veo que es completamente vulnerable me puse a provar el metodo <script>alert("XSS Vulnerable!")</script> y tambien funciono. Este buscador es uno bastante famoso aunque solo en España.

HTTP Headers

Antes de ayer baje Live HTTP Headers, una extension para Firefox con la que puedo ver todos los HTTP Headers que pasan de mi ordenador al servidor. Me puse a verificar si mi correo electronico y mi contraseña eran enviados en texto plano, cuando ellos aseguran que lo envian con SSL y no se ni que cuantas cosas. Guarde los HTTP Headers a un archivo .txt. Lo abri e hice una busqueda por el archivo cuando veo que en el caso de Hotmail el HTTP Header revelaba mi correo electronico y contraseña en texto plano y con explicación. Pero en el caso de aqui de Blogger que tiene un certificado de Thawte Consulting cc que supuestamente como lo describe Firefox es para evitar el eavesdropping, cuando verifico los HTTP Headers de Blogger en el primer header se encuentra mi correo electronico en un campo llamado &Email y mi contraseña en uno llamado &Passwd. Aqui les dejo el pedazo de Hotmail que es donde se encuentra mi correo electronico y contraseña:
idsbho=1&PwdPad=IfYouAreReadingThisYouHaveTooMu&LoginOptions=3&CS=&FedState=&PPSX=PassportRN&type=11&login=*&passwd=*&NewUser=1&PPFT=*=0&i2=0 (los asteriscos tapan mi correo electronico, contraseña y numero PPFT.) Estos HTTP Headers con un succionador o sniffer como Wireshark o Ethereal se podrian interceptar y tomar todos sus datos personales.

Anuncios De Banda Ancha

Hace unos minutos leia sobre todas estas restricciones que la Union Europea le ha puesto a Microsoft, cuando de repente me encientro con un anuncio en el cual me dice que introduzcca mi codigo postal para ver los mejores proveedores de banda ancha disponibles en mi area. Le inserte el metodo de XSS <PLAINTEXT> y me aparecio la gran vulnerabilidad en este campo de busqueda.