Vulnerabilidad en Twitter descubierta y en 8 días el equipo de Twitter lo soluciona
La seguridad en las páginas web es una de los temas más importantes a la hora de programarla. Una web mal programada puede ser víctima de Ataques XSS y también de Inyección SQL. Nos hacemos eco de la noticia de SecurityByDefault donde uno de sus miembros descubrió una vulnerabilidad en el conocido servicio de microblogging Twitter. La vulnerabilidad radica en que puedes subir fotos en tres formatos diferentes, en PNG, en JPG y en GIF. Cuando subes la foto, el sistema automáticamente te las redimensiona en dos ficheros diferentes para ciertas partes del perfil.
Si se intenta subir una imagen JPG o PNG Twitter elimina cualquier tipo de contenido extra de la imagen y comprueba que la cabecera es la correcta.
Si intentamos subir un fichero GIF el sistema no lo comprueba, permitiendo a un usuario modificando las cabeceras del fichero y subirlo a Twitter. Podríamos hacer un ataque XSS y el contenido binario/ejecutable para distribuir Malware se haría directamente desde los servidores de Twitter. Podéis visitar nuestro tutorial sobre cómo activar verificación en dos pasos en Twitter.
Cualquier usuario malintencionado podría atacar a clientes twitter desde la propia web o desde una aplicación, también podrían distribuir malware y modificar ficheros internos de la propia página web.
Esta vulnerabilidad ya ha sido solucionada por Twitter, en cuanto supieron de su existencia se pusieron manos a la obra para solucionarlo cuanto antes.