Al parecer después del revuelo causado por la noticia de los 10 Millones de Euros que el Gobierno iba a pagar a Telefónica por la seguridad de la Web de la Presidencia los expertos buscadores de agujeros de seguridad le hicieron una auditoría gratuita.

Y la web ha caído en un fallo de principiantes: ha caído con un XSS (Cross-Site Scripting).

Para los que no entiendan mucho diré que en realidad no han hackeado la web, no han modificado nada del servidor y solamente se puede ver el error entrando en una url que explote dicha vulnerabilidad. Por internet se ha distribuido esta url abreviada que el navegador interpretaba con la imagen de Mr. Bean:

http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg%20src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en

Si nos fijamos bien inyecta el siguiente script en nuestro navegador, por lo que solamente nosotros veremos la web modificada.

<script>document.write(‘<img src=”http://blog.tmcnet.com/blog/tom-keating/images/mr-bean.jpg” />’)</script>

Dicho script escribe en el documento de NUESTRO navegador lo que esta entre comillas. En este caso es mostrar una imagen externa al sitio, ya que en ningún momento han podido comprometer de otra manera la seguridad de los servidores.