----------- INOCENTADA 28-Dic-2012 -----------
Como muchos adivinasteis (y otros ¿siguieron la broma?), esta contribución se trataba de una inocentada.
-----------------------------------------------------------------------------------------
Quiero dar las gracias a Security By Default por dejarme publicar aquí esta técnica, en la que llevo meses trabajando y que espero poder presentar en diferentes congresos a lo largo de todo el mundo. Yo creo que nadie antes se había dado cuenta, pero creo que he descubierto una forma de poder conseguir Cross-Site Scriptings no persistentes (de momento :-D) en casi todas las páginas web, y ¡saltándose todos los filtros anti-XSS!
No quiero enrollarme mucho sobre cómo llegué a la sentencia final, pero si que os proporcionaré el truco para que así podáis llenar las bases de datos de webs con XSS, como XSSed y demás.
Para probarlo en entornos reales, he decidido aplicar dicho ataque en las webs de Google, de la Nasa y de la CIA, cuyos departamentos de seguridad siempre se han jactado de tener sus sistemas más seguros del mundo...¡pues no lo parece!
Adjunto las siguientes capturas, en primer lugar de un XSS en el propio buscador de Google!
El siguiente, ¡en el buscador principal de la NASA!
Y finalmente, en el de la CIA:
He probado sobre las últimas versiones sobre Windows de Google Chrome, Internet Explorer y Mozilla Firefox, y en este último no me ha funcionado, así que quizás siga investigando para que así este método sea como Java, ¡que funcione en todas partes!
Si queréis probar vosotros mismos, no tenéis más que realizar los siguientes pasos:
1) visitar una web cualquiera que tenga un buscador
2) poner la siguiente cadena de texto (es una de las técnicas mostrada en la cheatsheet de XSS en ha.ckers.org): <XSS STYLE="xss:expression(alert('Security By Default'))"> como valor a buscar.
3) La búsqueda no ofrecerá resultados, y aunque parezca que escapa carácteres, a continuación, en la barra de direcciones del navegador, hay que escribir lo siguiente, tal cual:
javascript:alert('Security By Default')
¡Tachán! Así veréis como esto no se trata de ningún montaje, ¡las imágenes que os había mostrado eran reales! He contactado tanto con Google como con Microsoft, y de momento no he obtenido respuesta alguna (supongo que por las vacaciones de Navidad), y también he escrito a Mozilla para felicitarles por su seguridad.
Espero que os haya sido de utilidad, y si mejoráis la técnica, ¡dejad comentarios!
------------------------------
Contribución por Inn0-cent Hacker
18 comments :
Inocentada cutre.
Técnica inocentemente avanzada...
Oh! que bueno! lo he probado y funciona!! ahora podré jakearlo todo!!!
...mmmm.....creo que no se me da muy bien trolear XD
No me acordaba yo que era este día.... estaba pensando en como se podía haber publicado un post con tal cagada xDDDDD
Saludos y feliz día a todos ^^
Buen aporte bro!
Congrats
No entiendo una cosa, el segundo paso para que es? Yo con realizar el tercero ya me muestra el mensaje de Secutiry By Default
Partiendome la caja brutalmente
Jajajaja casi que caigo, muy bueno! Feliz Día!
Hola, les aviso que blogger también es vulnerable, por ende ustedes también lo son:
:p
Buen aporte ... Lo probare ;)
mm no entiendo bien de que se trata...es como dice uno de los muchachos en uno de sus comentarios... poniendo javascript:alert('Security By Default') es suficiente. Sinceramente no entiendo que se podría hacer con esto, te agradecería si me lo pudieras explicar. Muchas gracias
Inocentada. El montaje de la web de la CIA te falla: La cadena XSS no es la misma que en lass anteriores ;)
Muy curradita y tal, pero no cuela xD
¿Funciona con un window.top.location='http://www.mipaginaparaestafas.com'?
Si funciona el redireccionamiento, se puede utilizar fehacientemente este XSS para poder compartir vinculos, cuyo destino intermedio sea Google, CIA, NASA, entonces con una herramienta para analizar enlaces recortados, daría como "valido y confiable" ya que estaría yéndose en principio hacia esas páginas................
Ese es un verdadero aprovechamiento del XSS no persistente.
jajaja muy buena de dia de los inocentes ..
WELCOME JAVASCRIPT jejee
El día de los inocentes JEJEJE
Jajajajaja Buena inocentada xD Leer estas cosas en un blog demuestra el toque personal de los autores y es lo que lo hace tan ameno :)
Un saludo y gracias a todos los que colaborais para que esto sea posible :)
Att: p0is0n-123
Publicar un comentario