Ser curioso y perseverante para saciar las hambres de conocimiento, esa es la actitud que hay que adoptar siempre, tal y como expuse en la charla ‘Talento, trabajo y otras cosas del montón‘. Bien, pues aquí va un ejemplo práctico.
Ernesto Martínez (@ecomaikgolf) es un estudiante de Ingeniería Informática de la Universidad de Alicante que cuando estudiaba en el instituto revisó de arriba a abajo la web de su instituto hasta dar con alguna vulnerabilidad que pudo reportar para corregirse. Hecho esto se autoimpuso un reto: hacer lo mismo al llegar a la universidad, dar con una vulnerabilidad en la página web sabiendo que la dificultad aumentaba al ser una web mucho más auditada y supervisada.
Pues dicho y hecho. Nada más llegar a la universidad se puso a indagar y dio con algunas vulnerabilidades en webs de asignaturas y aplicaciones de grupos de investigación pero se inquietud le llevó a apuntar más alto y se puso a revolotear en UACloud el campus virtual de la Universidad de Alicante hasta dar con una vulnerabilidad que reportó y se parcheó, no en una ocasión sino en tres tandas porque logró encontrar algo más.
Cross-site scripting en la web de la universidad
En las Jornadas de Ciberseguridad BitUp, Ernesto se encargó de contar paso a paso, una vez subsanada, cómo dio con esta vulnerabilidad en el portal web UACloud por su empeño de cumplir ese reto nada más llegar a la universidad. La charla está disponible tanto en vídeo como en podcast a continuación.
Notificó según el Common Weakness Enumeration una vulnerabilidad de tipo número 79, es decir, un Cross-site scripting (XSS) o ejecución de comandos en sitios cruzados. Se trata de una de las vulnerabilidades que se mantienen en el tiempo en el top 10 de OWASP, en concreto en el número siete y que sigue saliendo muy rentable a los cibercriminales porque se basa en explotar la confianza que un usuario tienen en un sitio web particular, en este caso, a todos los miembros de la comunidad educativa de la universidad y se pudo corregir gracias a la curiosidad y el empeño de este joven estudiante.
Vídeo
Podcast
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!