En el día de mañana estaré presente en el Microsoft CodeCamp 2010 presentando 10 formas de escribir código (in)seguro y una de mis tareas en los últimos días fue buscar errores tontos y predecibles en sitios altamente visitados.

Es así que me crucé con un XSS tonto (muy tonto, aunque hubo errores peores) en el sitio de Bit.ly. Parece que a esta gente no le alcanza con tener vulnerabilidades que permiten redireccionar dominios y que son utilizadas para propagar malware, las cuales hemos denunciado hace 3 meses y aún están en revisión (vota para que lo solucionen!).Ahora también tienen XSS que permiten robar cookies o crear dominios de phishing para robar credenciales.

Ya he denunciado el error a los administradores del sitio esperando que esta vez no se tomen meses para revisar el error.
¿Los detalles de la vulnerabilidad? En la conferencia.

Cristian de la Redacción de Segu-Info