HackerSafe, un servicio de la empresa de seguridad McAfee que permite encontrar vulnerabilidades en sitios web, ha sido cuestionado, ya que un hacker encontr贸 la forma de conseguir datos de acceso de usuarios o dirigir a los mismos a otros sitios web mediante una vulnerabilidad de Cross-Site Scripting (XSS).

Para que un sitio web obtenga en logo de “HackerSafe” tiene que cumplir con ciertos requisitos de seguridad. Sin embargo, la protecci贸n de XSS no es obligatoria.

Los sitios web pueden exhibir el 铆cono de HackerSafe s贸lo si cumplen con ciertos requisitos. El servicio se encarga de escanear puertos y buscar agujeros que pueden servir para realizar inyecciones SQL. Los sitios, una vez aprobados, son escaneados diariamente.

Sin embargo, Russ McRee encontr贸 una vulnerabilidad en cinco sitios con el 铆cono de HackerSafe. En este video McRee muestra c贸mo pudo inyectar c贸digo JavaScript arbritrario, leer las cookies de los usuarios y mostrar una p谩gina dentro de un iframe.

McRee inform贸 a los operadores de los sitios sobre estas fallas, que pueden estar comprometiendo en cierta medida la seguridad de los usuarios.

Una vocera de McAfee dijo que la compa帽铆a no ve a los agujeros de cross-site scripting tan cr铆ticos como las inyecciones SQL u otras vulnerabilidades. Dijo adem谩s que la existencia de un agujero XSS no significa la revocaci贸n del certificado. Sin embargo, cuando la empresa encuentra un agujero de seguridad, les avisa a sus clientes.

V铆a | Heise Online

Comp谩rtelo