Si hoy existe algo básico en lo que es la programación es la validación de los datos de entrada, eso quiere decir que los programas verifican los datos ingresados por el usuario por medio de funciones antes de pasar dicho dato a funciones que lo usan para convertirlo en información.
Cuando no se realizan estas validaciones previas antes de empezar a “tratar” el dato o exponerlo, lo que se esta dejando es la puerta abierta para un XSS.
Ya en otras oportunidades di a conocer alguno que otro, y esta vez vengo a dejarles uno más, la mejor forma de defendernos es conociendo los riesgos, y que mejor manera que verlos con casos de verdad.
La semana pasado lo reporte mediante el formulario de contacto del sitio, pero ni siquiera recibí una respuesta, por lo tanto lo hago publico ya que se ve que no tienen el interés de solucionarlo ( hasta hoy seguía igual ).
En esta oportunidad fue en el sitio de BAOFENG, es un fabricante de equipos de telecomunicaciones chino. El XSS que encontré es uno de los mas simples, donde se ingresa un código JS en un campo ( o variable ) y este mismo se inyecta dentro del código de la pagina.
Les dejo un par de screenshots demostrativos:
Esperemos que lo solucionen, y si son programadores por favor validen los datos de entrada ( sanitizar variables ).
Esta más que claro que esta información esta expuesta solo para carácter educativo 😉