Las vulnerabilidades de cross site scripting (XSS) regularmente no son consideradas como importantes, pero un atacante puede realizar, a través de estas, la inyección de un script del lado del cliente hacia páginas visitadas por víctimas.

Los ataques realizados por un hacker para explotar la vulnerabilidad de cross-site scripting tienen como finalidad evitar el salto de los controles de acceso por medio de las excepciones.

Ebrahim Hegazy, asesor de seguridad de la información en Egipto, ha encontrado una vulnerabilidad XSS en Avira. license.avira.com. En lugar de realizar un exploit de manera habitual” alert ('MyName')" y recibir reportes, decidió demostrar una forma diferente de aprovechar dicha vulnerabilidad, mostrando a Avira como un XSS permite robar las cuentas de usuarios de una base que no se encuentra cifrada.

Para demostrar este ataque se crearon cuatro archivos:

• avira.html - la página de acceso falsa

• log.php - el archivo que registrará las credenciales como texto sin cifrar en el archivo txt

• avira.txt – las credenciales  recolectadas están dentro de este archivo

• done.html - mostrará un mensaje de felicitación para engañar a los usuarios

En el siguiente video se muestra la explicacion de la metodología:

http://www.youtube.com/watch-feature=player_embedded&v=0l5uUVjZ3u4

Según Ebrahim Hegazy, el equipo de Avira respondió rápidamente y solucionó el error en poco tiempo.