Hacker desconocido ha intentado hackear Etherscan a través de la sección de comentarios

24 de julio de 2018

Etherscan, un explorador de redes Ethereum, se ha convertido en el objetivo de otro intento de pirateo. Un atacante desconocido intentó usar la sección de comentarios para inyectar un código malicioso.

Los usuarios del sitio web, que intentaron acceder a Etherscan el lunes, se saludaron con un mensaje emergente sospechoso de Javascript que decía "1337".

Después de estudiar los problemas, los desarrolladores de Etherscan descubrieron que el origen del ataque provenía de la sección de comentarios del sitio web. Fue respaldado por un servicio de terceros llamado Disqus.

Etherscan inhabilitó los comentarios de Disqus en el pie de página y se anunció en Reddit, que ya están trabajando en el parche que encapsulará el pie de página HTML y hará imposible atacar el sitio web de esa manera en el futuro.

El desarrollador de MyCrypto Michael Hahn dijo:

"XSS, en este caso una inyección de JavaScript, aprovechaba los comentarios de Disqus que las personas usan para comentar las direcciones. No parece que Etherscan haya estado sirviendo código malicioso cuando se lo notó. Los comentarios de Disqus en Etherscan.io se desactivaron hasta que se publica un parche de seguridad que encapsula / codifica el campo para eliminar la vulnerabilidad a XSS".

Comentarios

Никто ещё не оставил комментариев. Желаете быть первым?