Vulnerabilidad XSS en Google, Orange, Forbes, MySpace, MTV y Ferrari (y en blogger??)

Ucha Gobejishvili, también conocido como longrifle0x, ha encontrado una vulnerabilidad de Cross Site Scripting en Google Apps. Aunque el fallo fue reportado el 21 de enero a los expertos de seguridad de Google y el riesgo se considera bajo, la vulnerabilidad todavía se puede explotar y podría permitir a un atacante robar cookies e incluso secuestrar cuentas.

La prueba de concepto es muy sencilla:

- Abre https://www.google.com/a/cpanel/premier/new3?hl=en y haz clic en 'Find Domain'.
- Pon el siguiente código: <1frame src="javascript:alert('XSS');">


Además, longrifle0x ha reportado recientemente otros XSS en sitios tan conocidos como los de Orange, Forbes, Myspace, MTV y Ferrari: http://xssed.com/archive/author=longrifle0x/special=1/

Update1: WTF! ¿por qué Blogger no filtra el código del IFRAME? ¿otro XSS en Blogger?



Fecha: 27/01/2012




Update2: Una vez reportado, el Google Security Team confirma que sólo lo considerarían una vulnerabilidad si fuera posible ejecutar JS en el contexto de los dominios *.blogspot.com de otros usuarios o en blogger.com:

"Since the script is executing on a domain that does not have any sensitive
content, I can confirm the ability to include JavaScript on this page is
intentional; if you see any way in which this causes problems for other
Google services, please let us know.

Especially, please let us know if you find a way to execute JS in context
of other user's *.blogspot.com domain or in the context of blogger.com
domain - you can check this by displaying document.domain.

You can read more about bugs that qualify for a reward here:
http://www.google.com/corporate/rewardprogram.html
"

Totalmente de acuerdo, ¡muchas gracias a los expertos de Google por la rápida respuesta!

5 comentarios :

  1. En efecto amigos hace un par de dias, por casualidad me salio lo del xss publicando un post en mi blog, y pense que era que nadie habia notado anteriormente pero me puse a leer y veo que es un bug bastante viejo (nose si reír o llorar) y el cual podemos ver algo de eso en esta entrada desde el 2010
    Security By Default

    ResponderEliminar
  2. @45p1d4_16n15 ese post de Sbd era una broma por el día de los santos inocentes, no?

    ResponderEliminar
  3. 45p1d4_16n15 (vaya nick) mejor llora porque ese post era por el día de los inocentes, looser.

    ResponderEliminar
  4. 1 - Como comentan, la noticia de SbD es una broma, esto es real.

    2 - WTF! a 05/12 sigue siendo explotable??

    3 - Me habeis echo cambiar la contraseña de todas las cuentas en las que la utilizaba

    Este comentario lo escribo desde la red del vecino para que no relacioneis IPs... ¬¬

    Mira que sois dañinos :p

    ResponderEliminar
  5. Hola @anonimo, como comentaba en la segunda actualización, lo reporté a Google y me respondieron que solo consideran una vulnerabilidad si es posible ejecutar Javascript en el contexto de los dominios *.blogspot.com de otros usuarios o en blogger.com.

    Como el código lo puse con mi usuario en mi blog, pues entonces...

    ResponderEliminar