Vulnerabilidad XSS en Google, Orange, Forbes, MySpace, MTV y Ferrari (y en blogger??)

Ucha Gobejishvili, también conocido como longrifle0x, ha encontrado una vulnerabilidad de Cross Site Scripting en Google Apps. Aunque el fallo fue reportado el 21 de enero a los expertos de seguridad de Google y el riesgo se considera bajo, la vulnerabilidad todavía se puede explotar y podría permitir a un atacante robar cookies e incluso secuestrar cuentas.

La prueba de concepto es muy sencilla:

- Abre https://www.google.com/a/cpanel/premier/new3?hl=en y haz clic en 'Find Domain'.
- Pon el siguiente código: <1frame src="javascript:alert('XSS');">


Además, longrifle0x ha reportado recientemente otros XSS en sitios tan conocidos como los de Orange, Forbes, Myspace, MTV y Ferrari: http://xssed.com/archive/author=longrifle0x/special=1/

Update1: WTF! ¿por qué Blogger no filtra el código del IFRAME? ¿otro XSS en Blogger?



Fecha: 27/01/2012




Update2: Una vez reportado, el Google Security Team confirma que sólo lo considerarían una vulnerabilidad si fuera posible ejecutar JS en el contexto de los dominios *.blogspot.com de otros usuarios o en blogger.com:

"Since the script is executing on a domain that does not have any sensitive
content, I can confirm the ability to include JavaScript on this page is
intentional; if you see any way in which this causes problems for other
Google services, please let us know.

Especially, please let us know if you find a way to execute JS in context
of other user's *.blogspot.com domain or in the context of blogger.com
domain - you can check this by displaying document.domain.

You can read more about bugs that qualify for a reward here:
http://www.google.com/corporate/rewardprogram.html
"

Totalmente de acuerdo, ¡muchas gracias a los expertos de Google por la rápida respuesta!

Comentarios

  1. En efecto amigos hace un par de dias, por casualidad me salio lo del xss publicando un post en mi blog, y pense que era que nadie habia notado anteriormente pero me puse a leer y veo que es un bug bastante viejo (nose si reír o llorar) y el cual podemos ver algo de eso en esta entrada desde el 2010
    Security By Default

    ResponderEliminar
  2. @45p1d4_16n15 ese post de Sbd era una broma por el día de los santos inocentes, no?

    ResponderEliminar
  3. 45p1d4_16n15 (vaya nick) mejor llora porque ese post era por el día de los inocentes, looser.

    ResponderEliminar
  4. 1 - Como comentan, la noticia de SbD es una broma, esto es real.

    2 - WTF! a 05/12 sigue siendo explotable??

    3 - Me habeis echo cambiar la contraseña de todas las cuentas en las que la utilizaba

    Este comentario lo escribo desde la red del vecino para que no relacioneis IPs... ¬¬

    Mira que sois dañinos :p

    ResponderEliminar
  5. Hola @anonimo, como comentaba en la segunda actualización, lo reporté a Google y me respondieron que solo consideran una vulnerabilidad si es posible ejecutar Javascript en el contexto de los dominios *.blogspot.com de otros usuarios o en blogger.com.

    Como el código lo puse con mi usuario en mi blog, pues entonces...

    ResponderEliminar

Publicar un comentario