martes, noviembre 20, 2007

¿Bloggers robando a Bloggers?

Las técnicas de XSS llevan ya mucho tiempo en el ajo este de la "Internete" y hay quien las ha devaluado como técnicas de segunda división. Sí, es cierto, no se ejecutan en el servidor y parece que el que se ejecuten en el cliente hace de ellas menos importante.

El caso es que con ellas se puede jugar si la gestión de las credenciales de los clientes están poco securizadas. Un emplo de esto es el Hijacking que se podía realizar de las cuentas en Slashdot. Ese es un típico ejemplo en el que se ve como si alguien roba la cookie de una sesión autenticada puede entrar en la cuenta del otro.

Otro claro ejemplo de esto fue parte del proceso se siguió para defacear la web de Zone-h, dónde se utilizó un XSS para mangar la sesión de la cuenta de correo de un editor y... el resto es historia.

Thor, de Elhacker.net me envió el otro día un XSS no persistente en Blogspot, y además en la parte que siempre se prueba, en el motor de búsquedas. Si haces click en el siguiente link se mostrará la cookie con la que estás visitando este blog:

http://elladodelmal.blogspot.com/search?q=%3Cscript%3Ealert(document.cookie);%3C/script%3E


Thor estuvo probando varias cosas, y llegó a una buena conclusión. El XSS sólo se ejecuta si y sólo sí, la página ofrece resultados. Así como en este blog se ha hablado varias veces de XSS se ejecuta la visualización de la cookie.

El problema, podíamos pensar, es que sólo podemos hacer XSS de lo que nos vaya a dar resultados,¿no?. Pues no, yo creo que el problema es generar un resultado para lo que quieras ejecutar, es decir, primero decides que javascript quieres ejecutar en el XSS y después, en un post creado para ese proposito generas la entrada necesaria para que de resultados con tu XSS.

¿Pero... tiene sentido? Es decir, un blogger puede postear código, al menos en Blogspot, y puede, si quiere, realizar. Yo he creado una entrada llamada Zarzojo que hace lo pispo. ¿Sirve para algo entonces el XSS del motor de búsqueda? ¿A alguien se le oucurre un vector de ataque? ¿Debería Google meterle mano o puede pasar en canoa de él?

Soy todo ojos. Saludos malignos!

12 comentarios:

Gangrolf dijo...

Hombre, tiene pinta de que sólo vale para un compi de despacho que aproveche para meter mano a ese post que tu has puesto de ejemplo para robarte la cookie y hacer un post desde tu cuenta, mientras sigues en el servicio, o para editar un post y metér código que envie las cookies de quien lo lea a un servidor. Ahora, que seas tú (el dueño) o cualquier otro usuario, vete a saber...
Por lo que cuentas mucha utilidad no tiene, salvo que seas un autor malvado y quieras poner cosas para tocar los webs a los lectores...

Anónimo dijo...

Esto es el fin de los blogspots señores!, no lo ven claro?

Anónimo dijo...

@tecnicoless:
Tu frase es el típico humor de los tecnicoless. Eres muy gracioso. Pero realmente sabes lo que es XSS?Ahora sí, ya claro!, buscando en google....

Chema habla de seguridad en este post, no del futuro de blogger. Pero que te voy a contar, si tu estás aconstumbado a predecir el futuro, porque, ¿eres también economista, no? ¿o es que eso es una virtud de tu estudio sobre el tratamiento de la empresa como un organismo interconectado?.

Tanto gilipollas suelto y tan pocas balas!!!(Ford fairlane).

Anónimo dijo...

Geo, claro que se que es una xss (suelo programar muchas), y es el final de la blogsfera porque arreglar una xss no tiene una solucion facil, solo les queda reescribir toda la aplicacion desde 0, creeme

Chema Alonso dijo...

Cuando menos tiene su gracia que se lo coma Blogspot

Anónimo dijo...

Solo alguien demasiado aburrido encontraria la forma de hacer el mal con este xss.
PD: Es increible como no se salva ni dios de algun fallito de seguridad.
Nos vemos. Kraden.

elvenbyte dijo...

¿Realmente creéis que son tan ingenuos? Yo no. Sin embargo estoy absolutamente seguro que todas y absolutamente todas las páginas web de Internet son aptas para hacer XSS. Sólo hay que saber por dónde clavarla.

Ramón Sola dijo...

En mi opinión una vulnerabilidad que permita XSS o 'script injection' es demasiado evidente como para dejarla ahí a la vista, aun cuando no resulte explotable de forma inmediata o no parezca útil a primera vista para un usuario malicioso.

Anónimo dijo...

Malig,

Esto no tiene mucho que ver con el asunto en cuestión pero .... creo que vienes este Jueves a Murcia chiti no ?? ... espero que si, porque me apetece mucho ver cómo lo hacéis en persona ... he visto muchos webcast y vídeos y la verdad es que sois los mejores ... no falles eh ??

Chema Alonso dijo...

Estoy cogiendo el tren a Valencia, para ir esta noche a Murcia. Estaremos, resacosos o no es otra cuestión ;)

Nos vemos en Valencia y Murcia.

elvenbyte dijo...

Si pasáis por Valencia avisadme, aunque sea para tomar unas cañas y conocernos.

Chema Alonso dijo...

Y blogspot lo acabó arreglando...

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares