Que poca imaginación chicos, los unicos que entendieron la
peligrocidad del asunto fueron fue diego y andres.
Yo lo único que tengo en el dominio ôô.com.ar es un posteador de las
cookies en twitter, para romper las bolas, pero si quiero hacer algo
de verdad, no me quedaria esprando a que alguien caiga, simplemente
haria bot, que al llegar los datos se ponga a hacer lo que me
interesa, hasta puedo dejarlo "pingeando" para que la session no
caduque.
Los datos reales de vendedores importantes son caros, mas porque ML no
te deja tenerlos, osea que te podes hacer de una base de datos de
vendedores que no pagan impuestos ni facturan legalmente (osea que
todo es mas barato) y hasta te ahorras la comicion de mercado libre.
Hasta hacer lo que dijo Diego y hace un ataque de IS para que te de su
password, para que te de mas datos, para simular ser un cobrador;
H: Hola lo llamo de mercado libre para avisarle que su cuenta fue
desabilitada hasta que pague lo que debe, como desea pagar.
U: Tarjeta
H: :-) u fucked
Por otro lado este tipo de vulnerabilidad de llama "reflejada" o no
persistente, asi que el fuerte mas comun son ataques de phishing al no
ser que como usuario registrado postiemos esta url en un post como
"otras ofertas mias->" o algo asi, ahí se convertiría en un XSS
persistente y podria ser peor. Cualquiero usuario que haga click ahí
desde adentro de ML mandaría sus cookies.
Como sea, creo que en ML para comprar algo o mandar un comentario hay
que mandar la password de nuevo, esto es un metodo de seguridad que
usan muchas aplicaciones para evitar que estos ataques sean
peligrosos.
El día 19 de octubre de 2009 13:30, Rodrigo Arce <
rsa...@gmail.com> escribió:
>
> Imaginate si logras un par de usuarios vendedores con confianza.
>