tag:blogger.com,1999:blog-21555208.post2454843960846195606..comments2024-03-21T18:48:30.830+01:00Comments on Un informático en el lado del mal: HTML Injection en la aplicación Google Play StoreChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger14125tag:blogger.com,1999:blog-21555208.post-25643150480504795512015-01-22T21:42:28.142+01:002015-01-22T21:42:28.142+01:00Alberto es GAY XD<b>Alberto es GAY XD</b>Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-45391648354716436632014-02-17T01:56:57.586+01:002014-02-17T01:56:57.586+01:00Mi conclusión es que no hay que trabajar de gratis...Mi conclusión es que no hay que trabajar de gratis o esperando una galleta a cambio por caridad.<br /><br />Lástima que no recibiste la recompensa que merecías.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-84797510383635596152014-02-14T04:46:59.622+01:002014-02-14T04:46:59.622+01:00Miguel Ángel Jimeno Arce Aquí nadie a copiado a na...Miguel Ángel Jimeno Arce Aquí nadie a copiado a nadie :-) , me alegro mucho que hayas encontrado ese bug y otros muchos mas interesantes que he visto en tu blog, solo me refería al tema de Google que recuerdo haberme cabreado porque me bloquearon la cuenta de desarrollador.Jaimehttps://www.blogger.com/profile/06874109429062558267noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-79827357352313894962014-02-13T21:54:39.873+01:002014-02-13T21:54:39.873+01:00De hecho, mi fallo está en lls comentarios o críti...De hecho, mi fallo está en lls comentarios o críticas de la App, no en la descripción.<br />Miguel Ángel Jimeno.Miguel Ángel Jimeno Arcehttps://www.blogger.com/profile/18063369485415609472noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-82012025359755727972014-02-13T21:52:07.249+01:002014-02-13T21:52:07.249+01:00Bueno, tras ver las imágenes creo que tu fallo es ...Bueno, tras ver las imágenes creo que tu fallo es otro, el mío solo se reproduce en el terminal. Pero bueno, digamos que he copiado el fallo y Chema debe borrar la entrada o decir que la he plagiado, ¿no?<br />Un "saludo".Miguel Ángel Jimeno Arcehttps://www.blogger.com/profile/18063369485415609472noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-9145781075058211512014-02-13T18:30:22.417+01:002014-02-13T18:30:22.417+01:00Olvide poner las de la aplicación de Android:
-ht...Olvide poner las de la aplicación de Android:<br /><br />-http://i.imgur.com/jfqmUuW.jpg<br />-http://i.imgur.com/W8a6J1J.jpg<br />Jaimehttps://www.blogger.com/profile/06874109429062558267noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-51343929592727569302014-02-13T18:26:39.315+01:002014-02-13T18:26:39.315+01:00Esa "vuln" yo la reporte hace bastante t...Esa "vuln" yo la reporte hace bastante tiempo, incluso se puede llegar a explotar un poco mas pero nunca llegue a ejecución arbitraria de código JS así que para los términos de google no es una vulnerabilidad lo suficientemente grave como para prestarle atención. <br /><br />En cambio para OWASP si es una vulnerabilidad: https://www.owasp.org/index.php/HTML_Injection<br /><br />PoC:<br />http://i.imgur.com/rLert2N.png<br />http://i.imgur.com/7Dz6rUs.jpg<br />http://i.imgur.com/D7acKLy.png<br /><br />Lo que gane por parte de Google es que me banearan la cuenta de desarrollador y que nunca mas pude publicar aplicaciones para Android.Jaime Manteiganoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-34326896719920243482014-02-12T16:25:29.812+01:002014-02-12T16:25:29.812+01:0017 años, sí señor; que no digan que la juventud de...17 años, sí señor; que no digan que la juventud de hoy en día no se aplica. Ánimo al chico, que no decaiga esa actitud.<br /><br />Saludos.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-47826147174613565422014-02-12T15:13:44.596+01:002014-02-12T15:13:44.596+01:00Hace unos meses reporté la misma vulnerabilidad en...Hace unos meses reporté la misma vulnerabilidad en dos aplicaciones de Yahoo y me dijeron que no eran para nada peligrosas. Ahí siguen.<br /><br />Saludos.Pr0ph3thttps://www.blogger.com/profile/11300877563255728707noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-79941356257852450052014-02-12T14:32:10.793+01:002014-02-12T14:32:10.793+01:00Hice el teste y para codigos de redirecionamiento ...Hice el teste y para codigos de redirecionamiento de paginas parece no estar funcionando :PAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-12303947930030258852014-02-12T13:30:18.044+01:002014-02-12T13:30:18.044+01:00@migueljimeno96: Good finding! & Keep it up!
...@migueljimeno96: Good finding! & Keep it up!<br /><br />Simplemente algunas correcciones para el autor. <br /><br />Respecto a: "Más o menos yo imaginaba ya la respuesta cuando leí los términos de su programa de recompensas."<br /><br />Vuélvelos a leer porque esto acaba de revisarse hace días [1]<br /><br />Con lo cual ese bug, reportado hoy, sí que hubiera sido recompensado.<br /><br />De todas formas yo mandaría un mail de nuevo a ver si cuela. Creo que serían solo $100 [2] pero buenos son para ir empezando :-)<br /><br />Saludos!<br /><br />[1]http://googleonlinesecurity.blogspot.com/2014/02/security-reward-programs-update.html<br />[2]http://www.google.com/about/appsecurity/reward-program/BugHunters inc.noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-82277462756576298872014-02-12T11:52:17.055+01:002014-02-12T11:52:17.055+01:00Google.... ZAS!! En toda la boca :)Google.... ZAS!! En toda la boca :)Daniel Romanhttps://www.blogger.com/profile/03428997206581722623noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-31224035149063303002014-02-12T09:59:06.205+01:002014-02-12T09:59:06.205+01:00Buenos dias!
Buen curro, en donde menos te lo espe...Buenos dias!<br />Buen curro, en donde menos te lo esperas salta la liebre, joder que pasada, no veas con google! es p... un coladero! Muchas gracias por la info! Salu2 Dr.Maligno!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-79222906471430115562014-02-12T08:26:15.205+01:002014-02-12T08:26:15.205+01:00Ahora cuando empiecen a enlazar con páginas "...Ahora cuando empiecen a enlazar con páginas "sexualmente explicitas" xDDD lo mismo se lo toman de otra manera. Buen trabajo del chaval, no se me habría ocurrido. zhemnhttps://www.blogger.com/profile/07656281037462992167noreply@blogger.com