28 diciembre 2011

[inocentada] Cross-Site Scriptings en Google, Nasa y CIA

----------- INOCENTADA 28-Dic-2012 -----------

Como muchos adivinasteis (y otros ¿siguieron la broma?), esta contribución se trataba de una inocentada.

-----------------------------------------------------------------------------------------

Quiero dar las gracias a Security By Default por dejarme publicar aquí esta técnica, en la que llevo meses trabajando y que espero poder presentar en diferentes congresos a lo largo de todo el mundo. Yo creo que nadie antes se había dado cuenta, pero creo que he descubierto una forma de poder conseguir Cross-Site Scriptings no persistentes (de momento :-D) en casi todas las páginas web, y ¡saltándose todos los filtros anti-XSS!

No quiero enrollarme mucho sobre cómo llegué a la sentencia final, pero si que os proporcionaré el truco para que así podáis llenar las bases de datos de webs con XSS, como  XSSed y demás.
Para probarlo en entornos reales, he decidido aplicar dicho ataque en las webs de Google, de la Nasa y de la CIA, cuyos departamentos de seguridad siempre se han jactado de tener sus sistemas más seguros del mundo...¡pues no lo parece!
Adjunto las siguientes capturas, en primer lugar de un XSS en el propio buscador de Google!

El siguiente, ¡en el buscador principal de la NASA!

Y finalmente, en el de la CIA:


He probado sobre las últimas versiones sobre Windows de Google Chrome, Internet Explorer y Mozilla Firefox, y en este último no me ha funcionado, así que quizás siga investigando para que así este método sea como Java, ¡que funcione en todas partes!

Si queréis probar vosotros mismos, no tenéis más que realizar los siguientes pasos:

1) visitar una web cualquiera que tenga un buscador
2) poner la siguiente cadena de texto (es una de las técnicas mostrada en la cheatsheet de XSS en ha.ckers.org): <XSS STYLE="xss:expression(alert('Security By Default'))"> como valor a buscar.
3) La búsqueda no ofrecerá resultados, y aunque parezca que escapa carácteres, a continuación, en la barra de direcciones del navegador, hay que escribir lo siguiente, tal cual:

javascript:alert('Security By Default')

¡Tachán! Así veréis como esto no se trata de ningún montaje, ¡las imágenes que os había mostrado eran reales! He contactado tanto con Google como con Microsoft, y de momento no he obtenido respuesta alguna (supongo que por las vacaciones de Navidad), y también he escrito a Mozilla para felicitarles por su seguridad.

Espero que os haya sido de utilidad, y si mejoráis la técnica, ¡dejad comentarios!

------------------------------
Contribución por Inn0-cent Hacker

18 comments :

Isaac Morán dijo...

Inocentada cutre.

Lol dijo...

Técnica inocentemente avanzada...

Madrikeka dijo...

Oh! que bueno! lo he probado y funciona!! ahora podré jakearlo todo!!!

...mmmm.....creo que no se me da muy bien trolear XD

fikih888 dijo...

No me acordaba yo que era este día.... estaba pensando en como se podía haber publicado un post con tal cagada xDDDDD

Saludos y feliz día a todos ^^

Anonymous dijo...

Buen aporte bro!

Ms.brown dijo...

Congrats

invitado dijo...

No entiendo una cosa, el segundo paso para que es? Yo con realizar el tercero ya me muestra el mensaje de Secutiry By Default

Camaron dijo...

Partiendome la caja brutalmente

Alex dijo...

Jajajaja casi que caigo, muy bueno! Feliz Día!

(\'_\') dijo...

Hola, les aviso que blogger también es vulnerable, por ende ustedes también lo son:


:p

T31m0 dijo...

Buen aporte ... Lo probare ;)

Hugo dijo...

mm no entiendo bien de que se trata...es como dice uno de los muchachos en uno de sus comentarios... poniendo javascript:alert('Security By Default') es suficiente. Sinceramente no entiendo que se podría hacer con esto, te agradecería si me lo pudieras explicar. Muchas gracias

Iván Navas dijo...

Inocentada. El montaje de la web de la CIA te falla: La cadena XSS no es la misma que en lass anteriores ;)

Muy curradita y tal, pero no cuela xD

Christian A. G. ♌ dijo...

¿Funciona con un window.top.location='http://www.mipaginaparaestafas.com'?
Si funciona el redireccionamiento, se puede utilizar fehacientemente este XSS para poder compartir vinculos, cuyo destino intermedio sea Google, CIA, NASA, entonces con una herramienta para analizar enlaces recortados, daría como "valido y confiable" ya que estaría yéndose en principio hacia esas páginas................ 
Ese es un verdadero aprovechamiento del XSS no persistente.

Jsps St dijo...

jajaja muy buena de dia de los inocentes .. 

Armando Arias dijo...

WELCOME JAVASCRIPT jejee

Shellperlita dijo...

El día de los inocentes JEJEJE

p0is0n-123 dijo...

Jajajajaja Buena inocentada xD Leer estas cosas en un blog demuestra el toque personal de los autores y es lo que lo hace tan ameno :)

Un saludo y gracias a todos los que colaborais para que esto sea posible :)
Att: p0is0n-123