ElevenPaths finds a XSS problem in Play FrameworkElevenPaths 11 mayo, 2015 Play Framework is defined as «The high velocity Web Framemork for Java and Scala». We use it internally in some of our products. Ricardo Martín from our QA team has found a (could be permanent) XSS that has now been solved by the official team. This XSS could make all the platforms based on Play Framework, more prone to phishing attacks or able to steal data from users. When Play framework had a problem with the URL parameter. When it parses the view, it translates it to an URL that will work as a GET request. If the parameter value starts with «:», some exception is launched and fails to escape the value: @{Controller.action(URLparameterWithInjection)} How to get the URL parameter: How to get the URL parameter where the XSS may be encoded Then, URL goes through the program. Example of XSS injection encoded: Result of the injected URL, encoded (which is Ok) But once we «inject» the «:» character… Result of the injected URL, not encoded (which is a problem) There is a condition that does not allow to encode the injection. In fact, the code in Play Framework made it clear: There is an specific condition that does not encode strings beginning with «:» Whenever the view is interpreted, when translating to an URL that will work as a GET request, we may use it as a parameter to print it as a result. We developed a PoC and sent it to developers. Versions 1.2.7 to 1.3.0 have been tested to be vulnerable. Just a week after making them aware of the problem, this alert has been released, that solves the problem: https://www.playframework.com/security/vulnerability/20150506-XssUrlParamerter. El nuevo árbol de metadatos de FaastLatch, the best mobile app of 2015
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...
Cristina del Carmen Arroyo Siruela Los ataques más comunes contra las contraseñas y cómo protegerte Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación,...
Telefónica Tech Webinar: Sports Tech, la revolución digital del fútbol El pasado 15 de junio desde Telefónica Tech organizamos un webinar dedicado a la tecnología en el deporte: “Sports Tech, la revolución digital del fútbol”, disponible ya en nuestro...
Telefónica Tech Boletín semanal de ciberseguridad, 13 — 17 de junio Hertzbleed. Nuevo ataque de canal lateral contra procesadores AMD e Intel Investigadores de seguridad de varias universidades de Estados Unidos han descubierto un nuevo ataque de canal lateral que afecta...
Telefónica Tech ¡Estamos de estreno! Conoce la nueva web de Telefónica Tech Cyber Security & Cloud En Telefónica Tech no dejamos de crecer y de trabajar para ser el partner tecnológico de las empresas en su proceso de transformación digital. Como parte de este propósito Telefónica Tech...