Hola amigos!

Con la cosa del XSS de ayer en Tuenti, nos topamos con un par de fallitos más, y aquí os los mostramos ;D

Esta vez el bug tal vez sea más peligroso que el anterior. El anterior afectaba a la persona que tú eligieras en el Chat; bien, pues este afecta a todos los amigos que tengas agregados, ya que se basa en las Novedades que aparecen en Inicio:

 

El diseño de las Novedades fue cambiado algo antes que el del chat si mal no recuerdo. Esta "mejora" que implementaron consistía en que en Novedades aparecía más información, y un par de formularios desde donde podías comentar directamente estados, fotos, etc.

Además, si pones el link de una foto de estado (sólo sirve con las subidas en Tuenti) se reemplaza la URL por el título que le hayas puesto a la foto, y en Novedades sale una miniatura de la misma.

El bug es simple, cerramos el atributo phototitle, cerramos la etiqueta, insertamos código y volvemos a abrir la etiqueta como si nada hubiera pasado ;D

Un saludo a todos, y feliz año! :)