martes, 29 de junio de 2010

Camuflando XSS con URL’s Shorteners

Pensando y meditando sobre los ataques XSS me puse a analizar si los acortadores URL que existen pueden utilizarse para hacer inyección de javascript. Una pregunta fue fundamental ¿Qué pasará si alguien con conocimiento sobre XSS quiere utilizar a alguno de sus contactos (msn, facebook, twitter, etc) para hacer un ataque XSS, tanto como para hacer un redireccionamiento web o algo por el estilo?. Fue entonces donde me puse a indagar sobre este temilla; usé una página vulnerable a ataques de Cross Site Scripting y no era nada más y nada menos que la muy reconocida Essalud. En el campo de Buscar, inyectamos un simple código html, donde colocaremos una marquesina que diga “"Hacked by B1nary0”



Como verán, con el código HTML (<marquee>"Hacked by B1nary0"</marquee>) pude inyectar una marquesina pero sólo de forma local, de igual forma ya se inyectó en el código fuente y el explorador llegó a interpretarlo. Pero este no es el problema, sabemos que la página web es vulnerable a XSS, podemos hacer un secuestro de sesión o sino miremos el siguiente ejemplo:

- La víctima tiene un blog llamado http://blogdelavictima.com.

- El blog de la víctima usa cookies, por lo tanto, puede ser que la cuenta de administrador del blog de la víctima está activa.

- Cuando la víctima deja un comentario en el blog, se realizaría una petición así:

“http://blogdelavictima.com/comentario.php?nickname=administrador&comentario=comentario”

Si se le envía este URL con una trampita:

http://vulnerable.com/index.html#name=”) y veremos que realmente el script se aplica con éxito.



Ahora, si usamos los servicios ‘URL Shorteners’ con el script XSS… podemos engañar a muchas personas camuflando la real página y la real intención. Estos scripts no son detectados por las páginas que dan este tipo de servicios (algo realmente preocupante) y no hacen nada para evitarlo. Supongamos que un usuario con malas intenciones realice el primer caso que hemos hablado y utilice esos acortadores, podrá realizar el engaño usando ingeniería social sin dificultades y con éxito total.

Mucho cuidado para este tipo de peligros, aconsejo que si tengan que abrir un link reducido, usarlo en otro navegador, es decir, si usar Internet Explorer, copia el link y cópialo en una ventana nueva de Mozilla Firefox, Google Chrome o cualquier otro. Para irme les daré 2 link acortados usados anteriormente en SeguridadBlanca.org, del canal 5 y de Tuentrada.com, no son defaces, son las mismas páginas con un poco de javascript, modificadas localmente:

24horas.com.pe: http://tinyurl.com/2g4hbz8

Tuentrada.com.pe: http://goo.gl/Q0gN

Espero que les haya gustado y tomen las precauciones del caso.

Fuente:
CHOLOHACK

1 comentario:

Cota-K dijo...

Bonito blog! y muy interesante!!

Un beso