.

una súper corta… Link a un articulo de seguridad en JSON

este link lo publique en mi twitter pero me pareció tan importante que me atrevo a ponerlo tbm aquí…

el articulo habla sobre una vulnerabilidad en JSON, y de como es posible “ afectar sistemas”  vía este “ problemita”, como dijo Jersson  - en una platica vía MSN- “ es demasiado fácil”, sinceramente, ya lo veía venir… pero bueno... se me adelanto en el articulo, ni pex :).

Una de las cosas interesantes,  es que las librerías AJAX de MS  “mitigan” este problema, aunque lógico, mitigar no es “arreglar definitivamente”, así que  por allí aun podrían existir “dacitos”  que puedan usar este problema en beneficio propio…, bueno seria muy interesante que lean el articulo :

http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx

Salu2

Dacito Bauer – Ddaz -

Published 26/11/2008 8:05 por David Daniel Arroyo Zari "Ddaz"
Archivado en: ,,,,
Comparte este post:

Comentarios

# re: una súper corta… Link a un articulo de seguridad en JSON@ Wednesday, November 26, 2008 6:20 PM

Hace tiempo (2007-Abr), Scott también hablo de este tema: weblogs.asp.net/.../json-hijacking-and-how-asp-net-ajax-1-0-mitigates-these-attacks.aspx.

Saludos,

by Sergio Tarrillo

# re: una súper corta… Link a un articulo de seguridad en JSON@ Wednesday, November 26, 2008 10:18 PM

Hola:

si  te fijas....  los 2 hablan de como mitigar los problemas.. pero los 2 dicen cosas diferentes,  el que tu pones pone algo en el header y el otro no, pero logico, mientras mas formas mejor... aunque siempre hay una forma de saltarselas :)

Salu2

Ddaz

by David Daniel Arroyo Zari "Ddaz"

# re: una súper corta… Link a un articulo de seguridad en JSON@ Thursday, November 27, 2008 3:44 PM

claro, inclusive la referencia de scottGu indica que el AJAX Framework evita esos problemas. Es lo mismo que indica Haacked, pero bueno.

Deja de mencionarme!!! o es que quieres que postee algo?

Saludos =D.

by Jersson

# re: una súper corta… Link a un articulo de seguridad en JSON@ Thursday, November 27, 2008 5:26 PM

jersson...  si te fijas los casos son diferentes. en uno es con el content-type.. y en el otro se le agrega una letra...  

jaja sobre lo de mencionarte ... quien te entiende... jeje... pero sobre postear.. claro, quiza sobre que tan bueno es delicious?? :)

Salu2

Ddaz

by David Daniel Arroyo Zari "Ddaz"

# re: una súper corta… Link a un articulo de seguridad en JSON@ Friday, November 28, 2008 4:24 AM

a lo que me referia es que el ScottGu indicaba que ciertas falencias eran evitadas por el AJAX Framework (notaste que es la segunda vez que lo digo?)

no, deli, no...

by Jersson