tag:blogger.com,1999:blog-21555208.post2267891910362459311..comments2024-03-21T18:48:30.830+01:00Comments on Un informático en el lado del mal: XSS ejemplar con Gmail y FirefoxChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger24125tag:blogger.com,1999:blog-21555208.post-68097891639838308332009-11-20T18:27:25.653+01:002009-11-20T18:27:25.653+01:00Hola Manuel,
me hubiera gustado a mí hacer esa de...Hola Manuel,<br /><br />me hubiera gustado a mí hacer esa demo, pero no era mía. Era de Angelo, yo sólo la ví. Con respecto a NoScript, es un plugin (el cual pensé que tenía una versión para IE, pero ya veo que no) externo y, curiosamente, Firefox ha anunciado que iba a meter un filtro AntiXSS en la versión 3.7 [http://blog.server-monitor.info/2009/10/firefox-37-will-have-anti-xss-policy/]. Y, por supuesto, NoScript no viene de serie con Firefox ni con Chrome.<br /><br />Respecto a las listas blancas y negras, esas viene en IE desde que existen las zonas de Internet.<br /><br />Respecto al trick, es fantástico, pq un hacker ha encontrado como metersela a un sw. Es igual que cuando salió el XSS en los códigos de error de Apache o cuando aparece un BO en un firewall. Perfecto, pero no desestima para nada la tecnología.<br /><br />Este artículo no trataba de ser una comparación de seguridad, sino el caso de una demo concreta con un componente que viene por defecto en IE8 y que, para el ejemplo puesto, no funcionaba con IE8. Y Chrome, creo que tampoco lo tiene.<br /><br />Saludos Manuesl!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-88433831955173876232009-11-20T18:09:40.876+01:002009-11-20T18:09:40.876+01:00Chema,
En cuanto a NoScript:
1. NoScript tiene p...Chema,<br /><br />En cuanto a NoScript:<br /><br />1. NoScript <a href="http://noscript.net/features#xss" rel="nofollow"><b>tiene protección anti XSS</b> para <i>reflected XSS</i></a> que, según entiendo de tu entrada en el blog, es el ejemplo que estábais utilizando para <i>hackear</i> Firefox en vuestra presentación.<br /><br />2. La opción por omisión de NoScript es eliminar todo el Javascript de las páginas <b>que no estén en una lista blanca</b> (configurable). Esa opción por omisión puede cambiarse, por supuesto (por ejemplo, a un sistema de lista negra). Así que NoScript no simplemente "elimina el javascript". No todo, si tú no quieres y, por omisión, no de los <a href="http://noscript.net/faq#qa1_11" rel="nofollow">sitios "confiables"</a>.<br /><br />3. NoScript sólo está disponible para navegadores basados en Mozilla. Directamente de <a href="http://noscript.net/" rel="nofollow">la página de NoScript</a>: <em>The NoScript Firefox extension provides extra protection for <b>Firefox, Flock, Seamonkey and other mozilla-based browsers</b></em> (el resaltado es mío). Salvo que IE 8 de repente haya sido basado en Mozilla, no veo cómo vas a usar NoScript con IE.<br /><br />En cuanto al artículo:<br /><br />Demostraba que Firefox sin NoScript es vulnerable cuando visitas <b>enlaces maliciosos a páginas vulnerables a (reflected) XSS</b>. De acuerdo, eso lo sabemos todos. Lo que nadie sabía (y mucha gente aún no sabe) es que IE 8 es vulnerable a reflected XSS cuando visitas <b>enlaces maliciosos a páginas no vulnerables a reflected XSS</b>.<br /><br />Es decir, Firefox sin NoScript hace que páginas vulnerables a reflected XSS puedan ser explotadas. En cambio, el filtro anti XSS de IE 8 hace que páginas seguras frente a reflected XSS puedan ser explotadas. Yo no sé con qué prefieres quedarte tú. Yo creo que con lo primero.<br /><br />Respecto a Firefox.<br /><br />En efecto, tiene muchos problemas con su arquitectura. Pero IE, a lo largo de su historia, no ha tenido un número de vulnerabilidades significativamente inferior al de Firefox. IE 8 parece un buen navegador, pero de momento no sigo viendo una diferencia importante. Cualquier comparativa es discutible, pero te dejo un enlace al <a href="http://dvlabs.tippingpoint.com/blog/2009/03/18/pwn2own-2009-day-1---safari-internet-explorer-and-firefox-taken-down-by-four-zero-day-exploits" rel="nofollow">TippingPoint Pwn2Own 2009</a> por si te interesa. Según esa competición, Chrome es el más seguro del grupo IE 8, Firefox, Safari, Chrome.<br /><br />Un saludo.Manuelhttps://www.blogger.com/profile/12855890932975007590noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-61859072424848314922009-11-20T17:32:05.829+01:002009-11-20T17:32:05.829+01:00@Manuel, NoScript quita Javascript, los filtros An...@Manuel, NoScript quita Javascript, los filtros AntiXSS quitan el Javascript introducido como ataque. Hay NoScript apara IE.<br /><br />Este artículo deja claro que ese tipo de ataques, el diseñado, no se podía hacer con IE8. De nuevo un hacker ha encontrado una vulnerabilidad. Mola, porque a mi me gustaría haberla encontrado, pero eso no desmonta la tecnología.<br /><br />FF tiene muchos problemas hoy como la arquitectura, el alto volumen de vulnerabilidades y, a día de hoy, no tiene Anti XSS.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-85949329954413065722009-11-20T16:33:30.036+01:002009-11-20T16:33:30.036+01:00No te equivoques Chema, yo no me alegro de que hay...No te equivoques Chema, yo no me alegro de que haya un bug en IE. Simplemente me hace gracia que en este post intentaras vender lo inseguro que es Firefox y Gmail porque en ellos se puede explotar un XSS <b>de otra página</b>, en comparación con IE, que tiene su (vulnerable, aunque nadie parecía saberlo) filtro anti-XSS. No hay que escupir al cielo, porque te puede caer encima ;)<br /><br />Tampoco he dicho que Firefox (o Gmail) sean más o menos seguros que IE (o un servidor Exchange propio), porque en mi opinión no hay forma de demostrar que una u otra combinación sea mejor. Por eso soy escéptico cuando tú comparas a la ligera, o lo insinúas. Ya te discutí una opinión similar hace bastante tiempo, no hay forma de decir si Win/IE es más seguro que Lin/FF, y me da pena que a veces pierdas el tiempo (en tu blog y en tus presentaciones, que tuve la suerte de verte un rato en un evento que tú y el Chico Maravillas hicistéis en Sevilla hace años) en vendernos la moto en vez de hablar de cosas más interesantes sobre seguridad (que además, como ya he escrito en otros comentarios, creo que se te da bastante mejor :). Pero oye, es tu bitácora y te la f... como quieras :)<br /><br />Lo del filtro anti XSS: por supuesto, es un fallo que se arregla (tardando más o menos, que ya llevan unos meses en Spectra con el tema pendiente) y ya está. Todo el mundo comete fallos, ¿verdad? :) Es anecdótico que en este caso hubo gente que advirtió a Spectra de que esto les iba a pasar y, claro, les pasó.<br /><br />Sobre la ausencia de similar funcionalidad en FF, como ya alguien ha comentado antes NoScript funciona bastante bien para evitar XSS, desde antes que IE 8 existiese siquiera.<br /><br />Y no me malinterpretes, yo no vengo a hacer crítica destructiva, sólo intento aportar una visión diferente de los hechos.<br /><br />Un saludo.Manuelhttps://www.blogger.com/profile/12855890932975007590noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-23513495186138003302009-11-20T15:02:47.218+01:002009-11-20T15:02:47.218+01:00@Manuel, Manuel, veo que disfrutas con un bug de u...@Manuel, Manuel, veo que disfrutas con un bug de un sistema de protección que otros no tienen...<br /><br />Se corrige, y a otra cosa, mariposa... A ver como lo hacen los demás para introducirlo, para reducir la cantidad ingente de bugs por año que tiene Firefox, o para cambiar su arquitectura monólitica de acuerdo a los niveles de integridad....<br /><br /><br />Saludos para las habas!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-9815247142365224992009-11-20T10:44:33.819+01:002009-11-20T10:44:33.819+01:00Lo que me pude reír con este comentario sobre Goog...Lo que me pude reír con este comentario sobre Google + Firefox en su momento fue poco. No podía comentar <a href="http://www.theregister.co.uk/2009/11/20/internet_explorer_security_flaw/" rel="nofollow">cierta información</a>, por supuesto, pero ahora que ya es público...<br /><br />Ah, Chema, en todos lados cuecen habas, y en Spectra/IE a calderadas ;)Manuelhttps://www.blogger.com/profile/12855890932975007590noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-34013759369527522692009-10-28T09:24:11.457+01:002009-10-28T09:24:11.457+01:00Gratamente sorprendido de encontrarme un blog de e...Gratamente sorprendido de encontrarme un blog de este nivel en castellano.<br />A ver si puedo ponerme al dia con estos temas y pasarme al lado oscuro aunque sea para que me de sombra.Anonymoushttps://www.blogger.com/profile/03081252416288495482noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-16476869346221583162009-10-21T00:41:08.302+02:002009-10-21T00:41:08.302+02:00El curso de los viernes está bastante bien. Yo lo ...El curso de los viernes está bastante bien. Yo lo recomiendo!!!!aguxhttps://www.blogger.com/profile/02494121611165912931noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-29093103061471228752009-10-21T00:21:05.785+02:002009-10-21T00:21:05.785+02:00Sólo decir que estuve allí y es cierto, el nivel d...Sólo decir que estuve allí y es cierto, el nivel de las charlas de este año ha sido increíble. Desde Coruña, esperamos con ganas las III Jornadas de Seguridad para 2010 :)<br /><br />Un saludo.Davidnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-23596473888704568002009-10-20T16:51:39.633+02:002009-10-20T16:51:39.633+02:00Como me gusta decir, parafraseando un chiste de Eu...Como me gusta decir, parafraseando un chiste de Eugenio: "Cosa curiosa Rusia"<br /><br />Bueno. Veo un poco de todo:<br />- Anónimo #nosecuantos: vale que la cagada es del programador, pero el filtro ayuda a que esa cagada no se convierta en un desastre.<br />- Chema: días después de que escribieras el post sobre el SPF y el DKIM, los de Gmail tuvieron la magnifica idea de mostrar al usuario si ese correo era bueno o no... pero sólo de eBay y PayPal. Si es que... <br />- Pedro Laguna: Has dicho "discutirlo con la taza de te" y me he imaginado a Fred de Sinergia sin control. <br /><br />Y no se qué mas contar!!!aguxhttps://www.blogger.com/profile/02494121611165912931noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-26635919415788458562009-10-20T10:21:48.564+02:002009-10-20T10:21:48.564+02:00@dreyercito... no me seas hacker malo, malo. Of co...@dreyercito... no me seas hacker malo, malo. Of course que los firewalls no quitan el 100 % de los ataques, pero es de gilipollas vivir sin ellos. Of course que el Anti XSS no quita todo, pero tal vez sea una gilipollez en el futuro vivir sin uno de ellos ¿no?. Conozco a muchos hackers malos malosos que viven pegados a la configuración de NOScript. Cualquier ayuda es buena. Además, si te da problemas con esa página que tanto te gusta... siempre puedes desactivarlo pero... mejor tenerlo que no tenerlo, ¿no?<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-85884099364472639052009-10-20T09:35:05.344+02:002009-10-20T09:35:05.344+02:00Cortar todos los XSS sin romper funcionalidad: JA!...Cortar todos los XSS sin romper funcionalidad: JA!<br />Que no se trague XSS de libro no significa nada. Si se le puede colar se puede hacer y punto no hay ninguna diferencia.dreyercitohttps://www.blogger.com/profile/08138319452719124798noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-81220931979637857232009-10-20T07:32:40.030+02:002009-10-20T07:32:40.030+02:00@Ángel, eres un crá!, tienes mis respetos.
@Hu64,...@Ángel, eres un crá!, tienes mis respetos.<br /><br />@Hu64, desactivar JavaScript para no caer en un ataque XSS es como no acostarse con mujeres porque alguna una entre un millón es peligrosa. Además... NO Script tb rula en IE, hombre... ;)Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-28699760095778771022009-10-20T03:36:54.055+02:002009-10-20T03:36:54.055+02:00Gran Maligno!!! La realidad es que Gmail + Firefox...Gran Maligno!!! La realidad es que Gmail + Firefox es una combinación más insegura que Hotmail + IE8 con filtro antiXSS en muchas ocasiones, como muy bien has descrito.<br /><br />Yo conocía esto perfectamente, y por tanto no fue casual que la demo fuera con Google+Mozilla <br /><br />De vez en cuando hay que darle caña a los del logo multicolor ;-)Angelo Pradohttps://www.blogger.com/profile/13897203526947146257noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-65392206679335077482009-10-20T00:42:12.380+02:002009-10-20T00:42:12.380+02:00La ventaja de firefox, es que le pones un plugin c...La ventaja de firefox, es que le pones un plugin como el no-script, y te bloquea "todo" ... jaja<br /><br />un saludoHu60noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-63817761586981302562009-10-19T19:25:06.887+02:002009-10-19T19:25:06.887+02:00Anda Chemita... Voy a discutirlo con mi taza de te...Anda Chemita... Voy a discutirlo con mi taza de te a ver si encuentro algo "ejemplar" para ti :P<br /><br />Que poco te gusta dar tu brazo a torcer!!<br /><br />Por cierto, como la ha cagado Mozilla con lo del componente .Net de Firefox (a mi parecer): https://bugzilla.mozilla.org/show_bug.cgi?id=522777Pedro Lagunahttps://www.blogger.com/profile/14465712337568938230noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-28071357613606237392009-10-19T18:57:55.436+02:002009-10-19T18:57:55.436+02:00mmm... viendo el contenido de mañana del Innovatio...mmm... viendo el contenido de mañana del Innovation Tour en Sevilla, la última charla tendra algo que ver con esto? :PAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-47467457970116240392009-10-19T16:35:58.329+02:002009-10-19T16:35:58.329+02:00Hay que tener mala ostia para después de la charla...Hay que tener mala ostia para después de la charla pensar: ahora vamos a dar mala prensa a Firefox y Gmail.<br /><br />Pero bueno, no tenía idea del filtro de XSS. Me da un poco de miedo, me pregunto si tendrá falsos positivos. Porque juguetear con eso, si cometes un fallo es una puta mierda que te jode la vida y manda a tomar por saco la aplicación.<br /><br />Personalmente no soy nada partidario de este tipo de iniciativas. Si el desarrollador la caga, problema del que la caga. La solución es arreglar la cagada, no meter un filtro que seguro me va a joder la vida.<br /><br />Nada, seguiremos diciendo eso de:"puto iexplorer de mierda".Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-46417045275814153442009-10-19T13:19:35.955+02:002009-10-19T13:19:35.955+02:00@Pedro Laguna, sí, pero ya no sería un "XSS e...@Pedro Laguna, sí, pero ya no sería un "XSS ejemplar" ;)<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-37359389424803608182009-10-19T12:59:03.299+02:002009-10-19T12:59:03.299+02:00Me gustaria a mi ver ese XSS... Seguro que alguna ...Me gustaria a mi ver ese XSS... Seguro que alguna cosa se puede hacer: http://www.abysssec.com/blog/2008/10/internet-explorer-8-xss-filter-bypassing/Pedro Lagunahttps://www.blogger.com/profile/14465712337568938230noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-87861192825678394322009-10-19T11:57:25.245+02:002009-10-19T11:57:25.245+02:00Jajaja. Me parto.
La realidad es que un mensaje s...Jajaja. Me parto.<br /><br />La realidad es que un mensaje spoofeado de un dominio con SPF -all no entra en el inbox de Hotmail ni de coña.<br /><br />La realidad es que un XSS en un mail con IE8 así, no rula...<br /><br />Con Gmail y Firefox te lo comes con chips & fish.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-80181327146994484812009-10-19T11:51:21.027+02:002009-10-19T11:51:21.027+02:00Chemita se te ve demasiado el plumero: por muy gua...Chemita se te ve demasiado el plumero: por muy guay que lo pintes eso de hotmail + explorer cuéntaselo a otros...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-15549316136927150482009-10-19T10:13:19.383+02:002009-10-19T10:13:19.383+02:00¡Vaya, hoy parece un post mio! ¡Firefox y XSS! Sol...¡Vaya, hoy parece un post mio! ¡Firefox y XSS! Solo que yo no me hubiese metido con Firefox :P<br /><br />Ahora en serio, un detalle que se te ha pasado por alto: La solucion que Firefox va a incorporar no es algo para que funcione "del tiron" en todas las paginas como es la de IE8. En Firefox debemos de especificar una serie de cabeceras que le indicaran al navegador como tiene que comportarse a la hora de tratar, no solo el XSS, si no tambien otra serie de vectores de ataque.<br /><br />Tienes una demo aqui: http://people.mozilla.org/~bsterne/content-security-policy/demo.cgi con mas informacion. Si miras las peticiones con un sniffer HTTP (no, Odysseus no vale :P) veras como cada uno de los iframes envia una cabecera X-Content-Security-Policy propia. Para que la web del PSOE dejase de ser vulnerable al ataque de XSS reflejado deberian de implementar una de estas cabeceras.<br /><br />Y ahora que he defendido al Firefox... atacaremos a Internet Explorer 8! Todas las veces que he enseñado en los cursos y las charlas la demo de XSS permanente de robo de sesion con Internet Explorer 8, nunca me lo ha detectado ni me ha saltado el filtro!<br /><br />Un saludo!Pedro Lagunahttps://www.blogger.com/profile/14465712337568938230noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-71413660184828882332009-10-19T10:12:22.813+02:002009-10-19T10:12:22.813+02:00Es decir, funcionó por qué usó algo muy común en l...Es decir, funcionó por qué usó algo muy común en lugar de un servicio de correo que está totalmente de capa caida y un navegador que aún no usa ni el tato... :PNachohttps://www.blogger.com/profile/15605521324084317661noreply@blogger.com