• Tweet

El mes de los fallos en Twitter se moviliza con el popular servicio de acortamiento de enlaces (link-shortering) recibiendo la mayor parte de atención en su primer dia.

Sean Michael Kerner

De los archivos de una publicación:

El investigador en materia de seguridad Aviv Raff ha seguido en su promesa de iniciar el Mes de los Fallos de Twitter. ¿Su primer objetivo- El popular bit.ly, un servicio de acortamiento de URL.

Encontrar fallas en los servicios de acortamiento de URL no es un fenómeno completamente nuevo. Hace sólo dos semanas Cligs publicó que alrededor de dos millones de URLs acortadas habían sido hackeadas.

Para bit.ly, Raff encontró cuatro vulnerabilidades a su criterio, de las cuales tres se encuentran ahora parchadas. (No he sido capaz para obtener independiente comentarios de bit.ly que confirmen la cuarta, sin embargo Raff tiene un trabajo decente de concepto publicado que trabajó cuando lo intenté)

Las cuatro fallas estaban relacionadas con el tema de Cross-site scripting (XSS) .

Aunque Raff es la agrupación de investigación de fallas bajo la bandera "El Mes de los fallos en Twitter", por lo menos uno de los defectos descubiertos había sido divulgado antes de hoy.

Raff informa que hay un error que implica un Cross-Site Scripting en el parámetro de palabras clave registrado por primera vez por el investigador de seguridad Mike Bailey el 24 de junio de 2009.

"He encontrado un agujero de XSS en el popular servicio de acortamiento de URL, bit.ly", Bailey escribió en su consultivo la semana pasada. "Esto puede ser usado para comprometer historial de navegación, con la manipulación de las configuración de un usuario de bit.ly, e incluso el abuso cuentas Twitter (que tienen un API de Twitter)."