HackerSafe, un servicio de la empresa de seguridad McAfee que permite encontrar vulnerabilidades en sitios web, ha sido cuestionado, ya que un hacker encontró la forma de conseguir datos de acceso de usuarios o dirigir a los mismos a otros sitios web mediante una vulnerabilidad de Cross-Site Scripting (XSS).

Para que un sitio web obtenga en logo de “HackerSafe” tiene que cumplir con ciertos requisitos de seguridad. Sin embargo, la protección de XSS no es obligatoria.

Los sitios web pueden exhibir el ícono de HackerSafe sólo si cumplen con ciertos requisitos. El servicio se encarga de escanear puertos y buscar agujeros que pueden servir para realizar inyecciones SQL. Los sitios, una vez aprobados, son escaneados diariamente.

Sin embargo, Russ McRee encontró una vulnerabilidad en cinco sitios con el ícono de HackerSafe. En este video McRee muestra cómo pudo inyectar código JavaScript arbritrario, leer las cookies de los usuarios y mostrar una página dentro de un iframe.

McRee informó a los operadores de los sitios sobre estas fallas, que pueden estar comprometiendo en cierta medida la seguridad de los usuarios.

Una vocera de McAfee dijo que la compañía no ve a los agujeros de cross-site scripting tan críticos como las inyecciones SQL u otras vulnerabilidades. Dijo además que la existencia de un agujero XSS no significa la revocación del certificado. Sin embargo, cuando la empresa encuentra un agujero de seguridad, les avisa a sus clientes.

Vía | Heise Online