domingo, septiembre 14, 2014

XSSPOSED: El archivo de los bugs XSS en Internet

Al igual que Archive.org guarda las copias de todas las webs que puede de Internet, y que Zone-h tiene el archivo de los Defacements que se han hecho a las páginas web, XSSPOSED es una web que archiva y premia a los cazadores de bugs XSS (y Open Redirects) en Internet. En él se pueden acceder a los bugs que han sido encontrados y reportados en la web organizados por importancia de la web o por fecha de reporte, además de permitir ver quiénes son los mejores cazadores de XSS en Internet.

Figura 1: Web de XSSPOSED con Top Alexa Rank Websites con bugs y Latest Submissions 

Por cada bug que se ha reportado se puede ver una pequeña historia de él, con información relativa a la fecha, y el investigador que lo reportó, que se lleva una imagen de caza con su nombre por haber reportado esa "presa" al archivo de bugs de Internet.

Figura 2: Descripción del bug, del reporte e imagen con la presa

En la segunda parte del expediente queda la información relativa al bug, con la URL que tienen la vulnerabilidad y los parámetros POST que hay que configurar para poder probar el ataque.

Figura 3: Descripción detallada de la explotación del ataque

Además, se puede lanzar el ataque desde el propio expediente para comprobar si está aún activo, se puede pedir que se chequee otra vez para cambiar su estado de activo a parcheado y en todo momento se puede acceder a una copia que se hace en el sitio.

Figura 4: Mirror XSS del bug reportado

El número de ellos que aún siguen activos es alto y todos los días aparecen nuevos bugs de XSS en un montón de sitios, incluidos sitios de renombre como periódicos, sitios con ranks Alexa y Page Rank altos o muy populares, como este en la web de la MTV.

Figura 5: Bug de XSS en MTV reportado a XSSPOSED

Si tienes curiosidad por estas técnicas este es tu sitio, pero si eres administrador de la seguridad de sitios web en Internet deberías tener un ojo puesto en esta web por si hay algún bug que te afecte reportado. Esta es una más de las fuentes de información que revisamos en los servicios de Vigilancia Digital y en nuestro servicio Faast de Pentesting Continuo, ya que un bug de XSS activo en una web (o un Open Redirect) puede ser especialmente peligroso en determinadas circunstancias.

Saludos Malignos!

3 comentarios:

Jonathan Novel dijo...

Ostras que sitio mas chulo! si señor!
Este sitio es perfecto para lo de marras, see!
Muchas gracias Chema, ya te dire cosas, ok?

PD: Me voy de caza! pero...
no pa ziempre XD

Salu2!

Anónimo dijo...

Gracias A José y a ti por hacer posible http://www.dmdcosillas.org/2014/09/cloud_vs_spoofing/ . Saludos de un lector de allá, que ya conocía este lugar, más técnico ...

3v11 dijo...

Chema, no te olvides de xssed.com :D saludos de Bolivia

Entrada destacada

Navaja Negra: La CON de Albacete el 29 de Septiembre @navajanegra_ab @elevenpaths @0xWord

Es la sexta edición de esta CON que comenzó hace ya más de un lustro en la ciudad de Albacete , reúne el próximo 29 de Septiembre a una b...

Entradas populares