El hindú Rahul Tyagi, investigador en seguridad y autor de Hacking Crux, identificó vulnerabilidades Cross Site Scripting (XSS) en sitios web de varias organizaciones importantes.

El investigador envió las notificaciones respectivas a HP, Intel, Forbes, National Geographic, Spike TV, la Sociedad de Computación de la IEEE, Sony, Autodesk, Fujifilm, Dolby, Conferencias TED y a HowStuffWorks.

A pesar de que fueron notificados desde hace más de una semana (y en algunos casos hasta tres semanas), varias compañías aún no responden al mensaje del investigador.

Sin embargo, algunos de ellos ya respondieron. Por ejemplo, HP e Intel confirmaron la recepción de los reportes, pero no han programado las soluciones. Por el contrario, Sony, Dolby y HowStuffWorks arreglaron todos los huecos de seguridad y agradecieron al investigador por su trabajo.

“El XSS, como sabemos, ayuda a los intrusos a inyectar scripts maliciosos del lado del cliente en sitios web, los cuales pueden conducir a serios problemas como ataques de reputación, así como puede ser usado para evitar los controles de acceso”, declaró el experto a Softpedia.

El problema es que, vía XSS, los atacantes maliciosos pueden insertar su propio código malicioso dentro de los sitios web, aplicaciones web, temas y plugins en un esfuerzo por obtener el control de alguna característica o de todos los aspectos del sitio web vulnerables a Cross Site Scripting.

Así que ¿Por qué las compañías no solucionaron las vulnerabilidades después de haber sido notificadas-

Tyagi dice que la mayoría de las organizaciones están únicamente comprometidas con proteger los sitios web contra ataques de Inyección SQL, porque ésas son las únicas que exponen la información de sus clientes.

"Las vulnerabilidades XSS pueden ser vistas fácilmente en cualquier sitio web que tenga una caja de texto, y la razón de que la vulnerabilidad exista es debido a la amplia disponibilidad de características que los administradores del sitio ofrecen para interactuar con las entradas del usuario", mencionó el investigador.

El experto cree que estas vulnerabilidades existen porque los desarrolladores se enfocan, principalmente, en hacer funcionar el sitio y se olvidan de hacer las  validaciones correctas de los campos de entrada.

Tyagi como muchos otros expertos en seguridad están en descontento porque la mayoría de las organizaciones no proveen los canales de comunicación adecuados para reportar bugs y vulnerabilidades.

“Son organizaciones reconocidas, y deberían tener una sección titulada ‘report bug’ en su portal, en el caso de que alguien encuentre cualquier bug, así él o ella podrá reportarlo”