28 diciembre 2010

0day XSS persistente en Blogger.com y Meneame.net

ACTUALIZACIÓN


Efectivamente, se trataba de una broma. Las evidencias se han realizado mediante la extensión de Firefox Web Developer, su funcionalidad de "Editar HTML", que permite editar el código fuente de la página con el fin de mostrar como quedaría en caso de modificarla realmente en los ficheros de la web. En ningún momento se edita el contenido, sólo lo que se muestra en el navegador local. 

Tampoco es necesario crearse una copia local de la página ni nada por el estilo.

Sobre los alerts Javascript mostrados, puedes hacerlo si, en cualquier página, escribes el siguiente código en la barra de direcciones de Google Chrome o Mozilla Firefox:

javascript:alert("TEST SBD")
--------------------------------------------------------------------------------

En caso de que este post se llegase a publicar, quiero dar las gracias a SecurityByDefault.com por dejarme un "hueco" <:-D

Os explico, hace unas semanas se hacía público, por parte de Google, un programa para ofrecer recompensas a cambio de vulnerabilidades web en alguno de sus dominios importantes. Por ello, me puse al lío y de purísima casualidad, me topé con lo que comienzo a relatar a continuación.

En primer lugar, y aunque ya lo sabréis, paso a definir que es un XSS de tipo persistente o permanente. Todos sabemos que un Cross-Site Scripting es una de las vulnerabilidades web más famosas y extendidas, si bien en múltiples ocasiones resulta muy dificil aprovechar su explotación, puede dejar en evidencia a según qué tipos de webs (sobretodo si son de presidencias europeas y esas cosas jaja). Aún así, muchos consideran que no son muy importantes, ya que es necesario que un usuario haga click en un enlace que le pase otro usuario maloso que quiera, por ejemplo, robarle su sesión o redirigirle a un phishing. Pero...¿y si conseguimos que el código que incrustamos  se muestre siempre, y para todos? Nos haríamos con un buen conjunto de sesiones, y encima, ¡sin tener que hacer picar a nadie!

Pues de eso os escribo, al hilo del programa de Google, me encontré un XSS de este tipo permanente en el sistema de comentarios de Blogger! No quería ir a por vosotros :-P, así que aproveché e hice las pruebas sobre un blog conocido por muchos (es más, gracias a dicho blog conozco a SbD :-) ). Se trata del blog del maligno, Chema Alonso (www.elladodelmal.com), que está hospedado en blogger (y eso que es de Microsoft o algo así!).

Os paso una captura y un script para reproducirlo en cualquier blog que esté en blogspot.com!

AVISO DE SecurityByDefault: la captura enviada por el usuario era de mala calidad, por lo que reproducimos lo realizado por el contribuidor en un post de que publicó nuestro compañero Chema el día 27 de Diciembre (ayer). El código utilizado por dicho usuario se ha omitido, y se ha escrito directamente al equipo de seguridad de Google.


Ejemplo de alert en Javascript incrustado en uno de los comentarios, mostrando una cadena de texto.

Captura del comentario que incluye el código Javascript, saltándose la protección HTML de Blogger mediante una secuencia de carácteres determinada.
¡Todavía no me lo creo la verdad! Perdonad la calidad, pero bueno, yo os mando el código para que veais que es verdad, probadlo en cualquier blogger.

Bueno, espero que os haya gustado y sería un enorme placer aparecer en vuestro blog con este humilde post. Antes de nada, y ya que estoy con el tema, os mando otro de estos Cross-Site permanentes en el botón de meneos de Meneame. Sólo he conseguido reproducirlo si voto anónimamente cualquiera de las noticias en portada, fijaros en la noticia con los 499 meneos!:


Artículo por Anón1mo



21 comments :

Anónimo dijo...

inocents?

Anónimo dijo...

Que duro eh? xD

Anónimo dijo...

Menuda alegría que me llevado al verlo publicado :o)!

Muchas gracias sbd, y espero que nadie haga mucho el mal jajaja

Sigo esperando respuesta de Google, espero que vosotros hayais tenido más suerte

Luis dijo...

@Anonimo:
¿Hace cuanto que enviaste el reporte?
A mi me respondieron a los minutos y todo estaba solucionado a las horas. También son bastante rápidos los de Mozilla (aunque no para pagar que no he vuelto a tener noticias suyas...)

Anónimo dijo...

Sus lo podíais haber currao más y haber puesto una barra de direcciones aunque fuera photoshopeada. INOCENTS! :D

Anónimo dijo...

Muy bien señor misterioso.

No explique siquiera lo que es un XSS, un XSS persistente y bueno...

Que decir de dar el detalle de la vulnerabilidad...

Total, vamos a ir a otras fuentes a buscarlo ;-)

Un post un tanto absurdo

Anónimo dijo...

Menuda inocentada mas tonta

Jandro dijo...

@Ultimo anonimo. Habló el que responde en anonimo XD.

No se deben dar detalles de como explotarlo hasta que no sea arreglado por google. Esto se hace por varios motivos.
1º Por ética.
2º No queremos dañar a la compañia, sino ayudarla, por ello el programa de google.
3º No creo que esto sea un blog que forme a script kiddies.

Felicidades al autor de la contribución!.

Anónimo dijo...

Hoy era 28 de diciembre no? :P

BrujodeOZ dijo...

@Jandro, yo agregaria un 4º pto, no dar detalles por ser 28 d diciembre! XD

Anónimo dijo...

tendra q ver con lo de la FOCA??

http://evidenciasecurity.blogspot.com/2010/12/foca-y-el-re-contra-espionaje.html

Adama dijo...

Teniendo en cuenta que muchos tenemos cuenta en blogger me parece estupendo que se haya avisado a google antes.

Habeis avisado también a meneame. ¿no?

Cuando esté arreglado molaría que publicárais el fallo, eso no dañaría a nadie. :P

Adama dijo...

Se me olvidaba... Enhorabuena al descubridor del fallo ;)

Shyish dijo...

Mmmmm bonito día para publicar un 0day tan curioso xD

Lo cierto es que dais miedo explicándolo y me ha faltado poco para creérmelo =)

Un saludo!

Anónimo dijo...

El 28 de diciembre es el 362.º (tricentésimo sexagésimo segundo) día del año en el calendario gregoriano y el número 363 en los años bisiestos. Quedan 3 días para finalizar el año.
Es el Día de los Santos Inocentes.

:P

Burnice dijo...

Por dios es muy simple la solución, y no creo que tenga a google preocupado, la manera de como baypassear esta solbre el titulo "0day XSS persistente en Blogger.com y Meneame.net" jajajaja
Feliz Navidad, Feliz Año nuevo y Feliz dia....

Carlos dijo...

Vaya, vaya, si que es una entrada un tanto extraña...Lástima no tener a mano un calendario para consultar la fecha de hoy.

Anónimo dijo...

Inocentes palomitas...

Jandro dijo...

OWNED xD, si es que uno no puede estar en todo ¬¬

Anónimo dijo...

Pues 0day no, pero si se puede hacer en blogspot una redirección a código malicioso. Ejemplo:

Si añadimos un comentario

XSS redireccion a google.

Un enlace que podría ser malicioso..

Saludos.

Erratum

Adama dijo...

He venido a mirar este artículo porque no sé como me ha venido a la mente... ¿No será una inocentada?

Como dirían en una peli porno... Me la he tragado enterita! xD

Y yo que pensaba que este año me libraba de picar.

Muy buena!