By design (3)

By design (3)

Más cosas de la web del oso

Cuando te encuentras con un error de diseño, lo malo no es el error en sí. Es que, muy probablemente, el resto de la aplicación también presentará problemas similares. Y que modificarla posiblemente conlleve un replanteamiento global de la misma.

Y ahí va un ejemplo.

Cuando visitas

http://refbase.wsulibs.wsu.edu/yellowstone/search.php

... la web te redirige a otra página:

Y lo malo no es su apariencia, por otro lado normal, sino su URL que, convenientemente decodificada para su mejor comprensión y una vez eliminados algunos retornos de carro, quedaría:

http://refbase.wsulibs.wsu.edu/yellowstone/error.php?errorNo=1065&errorMsg=Query was empty&headerMsg=Your query:<br><br><code></code><br><br> caused the following error:

Como puede observarse, el código de error, su correspondiente descripción y el mensaje de error inicial forman parte de la URL. Y un usuario malicioso podría modificarlos para insertar contenidos que posiblemente serían más de su agrado que del de los propietarios de la web.

O código JavaScript. O IFRAMEs que incluyan PDFs que infecten con malware.

XSS by design. Si el firewall de aplicación web (WAF) no lo evita, que con demasiada frecuencia no...