Estamos viviendo en una era de exploits y violaciones de alto perfil, incluyendo 1.2 mil millones de nombres de usuario y contraseñas que recientemente se encontraron en la campaña CyberVor. Pero con simples medidas como poner atención en lo cotidiano, por ejemplo en las alertas de vulnerabilidades comunes en las organizaciones, es posible contener muchos de los ataques.

High-Tech Bridge ha lanzado XSSposed, un archivo de vulnerabilidades XSS. El archivo tiene como objetivo informar a las empresas de los agujeros y parches de seguridad que se relacionan con ellos, pero también incluye vergüenza, por estar en una lista de sitios web comprometidos.

El enfoque de código abierto tiene la intención de incentivar la búsqueda de vulnerabilidades en los programas donde hay una gratificación al encontrar errores. Yahoo ofreció nada más que una playera blanca para el trabajo de un hacker de sombrero blanco, una política que ya se ha renovado.

High-Tech realiza investigaciones regularmente de vulnerabilidades en sitios web, en el pasado ha revelado vulnerabilidades de seguridad en organizaciones como Facebook, NASDAQ y el sitio web del Foro Económico Mundial. El problema continúa: desde mediados de junio, el sitio fue reportado de 876 vulnerabilidades y sólo 97 vulnerabilidades fueron arregladas a través de 1,328 sitios web vulnerables.

"No me sorprendería que los investigadores de seguridad se sientan motivados a reportar las vulnerabilidades XSS en un archivo público", dijo Ilia Kolochenko de High-Tech Bridge. "Hoy en día tenemos muy pocos programas de recompensas por errores que funcionan correcta y completamente. El enfoque de divulgación completa puede finalmente ser lo que empujará a los desarrolladores web a asegurar sus sitios rápidamente". 

"Legiones de bots rastrean la web en busca de programas sin parches o desactualizados por docenas de años", señaló Kolochenko. "Está creciendo el número de bots dirigidos a buscar sitios web vulnerables o puertas traseras. Este archivo es útil para alertar a las personas de la existencia de los riesgos".

Añadió: "Sólo por usar Google, puedes encontrar millones de contraseñas en texto plano muy rápido en la web. Al mirar XSSposed.org, se observan vulnerabilidades en cientos de sitios web de los más famosos en los últimos dos meses, los investigadores envían la información de forma gratuita. Así se puede estimar qué tan grande es realmente el mercado negro". 

XSSposed.org también permite a cualquier persona desafiar a hackers para buscar vulnerabilidades en los sitios web en todo el mundo. Para saber realmente qué tan seguro es un sitio web en particular, los usuarios pueden enviar su URL (de forma anónima si así lo prefieren) a través de un formulario de contacto en línea para que los investigadores de seguridad verifiquen si tiene alguna vulnerabilidad.