Archive for the 'XSS' Category

No os preocupéis, sigo vivo !

Comentaros que aunque no me veáis escribir mucho por aquí ello tiene un signifcado; me estoy centrando más en un blog que comencé hace unos años en forma de proyecto y estoy dejando un poco de lado este, puesto que este es más de carácter personal y aquel más de carácter general por ello publico todo lo relacionado con la informática y algún que otro tema offtopic.

Click sobre la imágen para acceder 🙂

Anuncios

Google Services Notifier Chrome extension XSS/CSRF

######################################
Google Services Notifier Chrome extension XSS/CSRF
extension: https://chrome.google.com/extensions/detail/dmgbflokapnkfnegeigclohhplnflgie
reportado por: http://lostmon.blogspot.com/2010/06/google-services-notifier-chrome.html
Exploit disponible: Sí Notificación al desarrollador: No
#######################################

En este caso el “notificador para Google Wave Chrome” tiene un bug que permite a atacantes realizar ataques XSS.

Todas las extensiones se ejecutan sobre su origen y no tienen forma de alterar los datos de la extensión u obtener datos sensibles como; cuenta de correo electrónico o contraseña, etc.

Podemos observar como muchos usuarios se han instalado esta extensión => https://chrome.google.com/extensions/detail/dmgbflokapnkfnegeigclohhplnflgie
109 usuarios lo han instalado (WoW)

############
explicación
############

Los servicios de Google permite a los usuarios usar el notificador para ver cuando tienen un nuevo wave y ver también una vista previa de la misma.

Mantente al día con los servicios de Google como Google Mail, Blogger, Reader, YouTube,
Google Docs, Google Wave servicios, etc. Se añadirá más información en breve.

Si un atacante crea un nuevo wave con el código HTML o JavaScript en el cuerpo y lo envía a la víctima el código se ejecuta, cuando la víctima haga click para ver la vista previa de los waves.

Asi que para aprovechar que tenemos que crear un wave “especial” por ej, si ponemos directamente en el cuerpo del correo un iframe:

“><iframe src=”javascript:alert(location.href);”></iframe>

En los dos casos el alert se ejecuta cuando trata de abrir una vista previa del correo electrónico con la extensión :) que se ejecuta en el valor de contexto que es: location.href el valor sería: “about:blank”
Por ejemplo enviando un wave con un cierre de sesión con el cuerpo:

“><iframe src=”https://wave.google.com/wave/logout”></iframe>

Se cerraría la sesión en google wave, esto es un CSRF.

######################€nd################################

Thnx for your time !!!
atentamente: Lostmon (lostmon@gmail.com)
—–

thz Lost 😉

Notifier for Google Wave Chrome extension XSS/CSRF

######################################
Notifier for Google Wave Chrome extension XSS/CSRF
extension: https://chrome.google.com/extensions/detail/aphncaagnlabkeipnbbicmcahnamibgb
reportado por: http://lostmon.blogspot.com/2010/06/notifier-for-google-wave-chrome.html
Exploit disponible: Sí Notificación al desarrollador: No
#######################################

Seguimos, en este caso el “notificador para Google Wave Chrome” tiene un bug que permite a atacantes realizar ataques XSS.

Todas las extensiones se ejecutan sobre su origen y no tienen forma de alterar los datos de la extensión u obtener datos sensibles como; cuenta de correo electrónico o contraseña, etc.

Podemos observar como muchos usuarios se han instalado esta extensión => https://chrome.google.com/extensions/detail/aphncaagnlabkeipnbbicmcahnamibgb
56,542 usuarios se lo han instalado (WoW)

############
explicación
############

El Notificador de Google Wave permite a los usuarios ver cuando tienen un nuevo wave y ver una vista previa de la misma.

Si un atacante crea un nuevo wave con el código HTML o JavaScript en el cuerpo y lo envía a la víctima el código se ejecuta, cuando la víctima haga click para ver la vista previa de los waves.

Asi que para aprovechar que tenemos que crear un wave “especial” por ej, si ponemos directamente en el cuerpo del correo un iframe: “><iframe src=”javascript:alert(location.href);”></iframe>

En los dos casos el alert se ejecuta cuando trata de abrir una vista previa del correo electrónico con la extensión :) que se ejecuta en el valor de contexto que es: location.href el valor sería: “about:blank”

Por ejemplo enviando un wave con un cierre de sesión con el cuerpo:

“><iframe src=”https://wave.google.com/wave/logout”></iframe&gt;

Se cerraría la sesión en google wave, esto es un CSRF.

######################€nd#################################
.

Thnx for your time !!!

atentamente:
Lostmon (lostmon@gmail.com)
—–

thz Lost 😉

Gmail Checker plus Chrome extension XSS/CSRF (Parte II)

######################################
Gmail Checker plus Chrome extension XSS/CSRF II
extension: https://chrome.google.com/extensions/detail/gffjhibehnempbkeheiccaincokdjbfe
reportado por: http://lostmon.blogspot.com/2010/06/gmail-checker-plus-chrome-extension.html
Exploit disponible: Sí Notificación al afectado: No
#######################################

En este caso “Google Mail Checker Plus” la versión 1.1.7 (02/10/2010) tiene un bug que permite a atacantes realizar ataques XSS.

Todas las extensiones se ejecutan sobre su origen y no tienen forma de alterar los datos de la extensión o de obtener datos sensibles como; cuenta de correo electrónico o contraseña, etc.

si observamos cómo muchos usuarios han instalado esta extensión =>
https://chrome.google.com/extensions/detail/gffjhibehnempbkeheiccaincokdjbfe
303.711 usuarios lo han instalado ya (WoW)

############
explicación
############

Google Mail Checker Plus permite a los usuarios ver cuando tienen un nuevo correo y ver una vista previa del correo.

Si un atacante crea un nuevo correo con código HTML o JavaScript en el cuerpo y lo envía a la víctima, el código se ejecuta, cuando la víctima haga click en él para ver una vista previa del correo.

Así que para aprovechar que tenemos que crear un correo “especial” como por ej, si ponemos directamente en el cuerpo del correo un iframe; “><iframe src=”javascript:alert(location.href);”></iframe> la extensión muestra el código en texto plano y la descripción no se ejecuta.. tenemos que utilizar una característica de gmail (autoconversión de enlaces automática al clickar urls) con ellas podemos crear un cuerpo de correo electrónico con un enlace http como:

http://”><iframe src=”javascript:alert(location.href);”></iframe>

o crear un mail con el link:

lalala@”><iframe src=”javascript:alert(location.href);”></iframe>.com

En los dos casos el alert se ejecuta cuando trata de abrir una vista previa del correo electrónico con la extensión 🙂 que se ejecuta en el valor de contexto que es: location.href el valor sería: “about:blank”

Gmail es un lugar seguro, pero las extensiones para su gestión pueden ser un vector potencial de ataque.

Por ejemplo, podemos enviar un correo electrónico con un cierre de sesión en gmail creando en el cuerpo:

http://”><iframe src=”https://mail.google.com/mail/?logout&hl=es”></iframe&gt;

Como comprobaréis no se cierra la sesion en gmail, se trata de un CSRF.

Asimismo, si el usuario tiene opción de marcar para mostrar notificaciones en el escritorio y de esta manera se puede ejecutar también el iframe en la ventana de notificaciones del escritorio y puede causar una denegación de servicio de extensión, por ejemplo, si la víctima trata de cambiar alguna opción en las opciones de la página de extensión 😛

Estas diferencias las tenemos en: http://code.google.com/p/chromium/issues/detail?id=45401

El desarrollador ha comunicado una versión del parche en el repositorio sobre otros problemas.

Véanse las referencias anteriores sobre las vulns: => OSVDB ID :65459 and OSVDB ID: 65460
y su posterior parche =>
http://github.com/AndersSahlin/MailCheckerPlus/blob/54ab118e505feae819e676c8e525e8fe5409c981/src/mailaccount.class.js
y esta => http://github.com/AndersSahlin/MailCheckerPlus/commit/54ab118e505feae819e676c8e525e8fe5409c981#diff-0

Lo lanzo como 0-day y no notifico a los proveedores ya en las vulns anteriores en el parche no hicieron ninguna a ésta y robaron créditos por el reporte. Esta vez no se notificarán a los desarrolladores 🙂

######################€nd#################################
.

Thnx for your time !!!

atentamente:
Lostmon (lostmon@gmail.com)

thz Lost 😉

Gmail Checker plus Chrome extension XSS

######################################
Gmail Checker plus Chrome extension XSS
Extensión: https://chrome.google.com/extensions/detail/mihcahmgecmbnbcchbopgniflfhgnkff
Reportado por: http://lostmon.blogspot.com/2010/06/gmail-checker-plus-chrome-extension-xss.html
Exploit disponible:
#######################################

En este caso “Google Mail Checker Plus” la versión 1.1.7 (02/10/2010) tiene un bug que permite a atacantes para realizar ataques XSS.

Todas las extensiones se ejecutan sobre su origen y no hay forma de alterar datos o la extensión para obtener datos sensibles como; cuentas de correo electrónico, contraseñas, etcétera.

Podemos observar cuántos usuarios se han instalado esta extensión =>
https://chrome.google.com/extensions/detail/gffjhibehnempbkeheiccaincokdjbfe 303,711 users (WoW)

############
Explicación
############

Google Mail Checker Plus permite a los usuarios ver cuando tienen un nuevo correo y
ver una vista previa del correo…

Si un atacante compone un nuevo correo con el código HTML o JavaScript en el campo del asunto y lo envía a la víctima, el código se ejecuta cuando haga click la víctima en la extensión para ver el correo y la víctima cuando acepte la alerta y ver una vista previa del correo el iframe se ejecutará a su vez.

Gmail es un lugar seguro, pero la extensión a su manejo, puede ser un potencial vector para atacarlo.

Por ejemplo; podríamos enviar un correo electrónico que accione el cierre de sesión en GMail y ponemos en el asunto:

“><iframe src=”https://mail.google.com/mail/?logout&hl=es”<>/iframe&gt;

Con esto se cerraría la sesion de GMail, se trata de un XSRF, y, en el caso de lo que tú dices es ejecutado en el contexto y el valor location.href es: “about:blank”

Por lo que tenemos disputas en: http://code.google.com/p/chromium/issues/detail?id=45401

El desarrollador ha comunicado una versión del parche en trunk: http://github.com/AndersSahlin/MailCheckerPlus/blob/54ab118e505feae819e676c8e525e8fe5409c981/src/mailaccount.class.js

Podéis bajarlo y copiarlo a la carpeta de la extensión para solventar el problema.

Ver Diff: http://github.com/AndersSahlin/MailCheckerPlus/commit/54ab118e505feae819e676c8e525e8fe5409c981#diff-0

######################€nd#################################
.

Thnx for your time !!!

atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/

—-

thz Lost 😉

Google Chrome Frame null domain XSS

#####################################
Google Chrome Frame null domain XSS
URL afectada: http://www.google.com/chromeframe
Changelog del vendedor: http://googlechromereleases.blogspot.com/2009/11/google-chrome-frame-update-bug-fixes.html
Reportado por: http://lostmon.blogspot.com/2009/11/google-chrome-frame-null-domain-xss.html
Notificación al vendedor: Exploit disponible:
######################################

######################
Descripción del vendedor
######################

Google Chrome Frame es un plug-in gratuito para Internet Explorer. Algunas aplicaciones web avanzadas, como Google Wave, contiene el uso de Google Chrome Frame para ofrecerle características adicionales y un mejor rendimiento.

Google Chrome Frame es una etapa inicial de código abierto, un plug-in que hace a la perfección Google Chrome mejorando las tecnologías web y el motor de JavaScript de Internet Explorer.

################
Versiones afectadas
################

4.0.223.9 (Official Build 29618)
WebKit: 532.3
V8: 1.3.16
User Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US)
AppleWebKit/532.3 (KHTML, like Gecko) Chrome/4.0.223.9 Safari/532.3

Versiones no afectadas:

4.0.245.1 (Official Build 31970)
WebKit: 532.5
V8: 1.3.18.6
User Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US)
AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.0.245.1 Safari/532.5

Para más información visiten:
http://googlechromereleases.blogspot.com/2009/11/google-chrome-frame-update-bug-fixes.html

#####################
Cross Site Scripting
#####################

Creamos un documento HTML para probar y metemos =>

<iframe src=”javascript:alert(1)></iframe>

=> se abre el iframe y ejecuta el alert (esto es lo correcto)

<iframe src=”cf:javascript:alert(1)></iframe>

=> esto no funciona, no muestra el alert (sigue siendo correcto)

Y aquí está el error:

<iframe src=”cf:view-source:javascript:alert(1)></iframe>

Este code ejecuta y muestra el alert que funciona en local y a su vez en remoto o también a través de la barra de dirección.

Esto pasa las políticas de origen de datos !!

Para probar el navegador Google Chrome ponemos en la barra de dirección =>

view-source:javascript:alert(1)

Esto ejecuta el alert, aun así Google hace poco decidió realizar unos cambios en él como poner la página en blanco, este tema es sólo explotable a través de la barra de direcciones, no en un iframe o frame o documento html, así que por ese motivo creo que este problema no es explotable remotamente.

###########
Crashes
###########

cf:view-source:about@: => se rompe
cf:about@: => rompe el tab

##########
Solución
############

Google automáticamente ha sacado una nueva versión de Chrome Frame 4.0.245.1 (Official Build 31970) y esta versión no está afectada por esta vulnerabilidad.

#################€nd#############
Seguir leyendo ‘Google Chrome Frame null domain XSS’

Wowd search client multiple variable XSS

##########################################
Wowd search client multiple variable XSS
URL afectada: http://www.wowd.com/
Avisado por: http://lostmon.blogspot.com/2009/10/wowd-search-client-multiple-variable.html
Notificación al vendedor: exploit disponible:
##########################################

################
¿Qué es Wowd?
################

Wowd es un motor de búsqueda que sirve para descubrir lo más popular de las webs en tiempo real.

En esencia, la compañía ha hecho un p2p como motor de búsqueda, por lo que otros usuarios Wowd que hay en línea pueden estudiar y usar sitios del ranking basada en una estructura de enlaces arcanos.

Teniendo una búsqueda y dividiéndola en millones de pequeñas piezas todas ellas dirigidas por los usuarios individuales que han descargado el cliente Wowd cambia completamente la operación – y la economía – del motor de búsqueda. Cuantas más veces clicken dentro de Wowd en un enlace dentro de un tiempo “x” el ranking será más alto ya que es mayor el vínculo.

##########################
Descripción de la vulnerabilidad
##########################

El cliente Wowd contiene un error que permite a ejecutar un codigo remoto cross site scripting (XSS). Este error existe porque la aplicación no es valida en el cuadro de diálogo URI ” SortBy ‘tags’ y ‘variables CTX’ en envio a script ‘index.html’. Esto podría permitir a un usuario crear especialmente un código a través de una dirección URL que ejecutaría arbitrariamente en el navegador de un usuario dentro de la relación de confianza entre el navegador y el servidor, esto produciría una pérdida de integridad.

Este problema puede ser peligroso, porque si se está ejecutando el cliente Wowd, usted tiene esta vulnerabilidad, porque este problema puede ser aprovechado en todos los navegadores, hasta en IE8 con el filtro anti-XSS (WoW!)

#################
Versiones
################·

Wowd client 1.3.0

#################
SOLUCIÓN
#################

No hay solución por el momento !!!

###################
PoC
###################

#############
Prueba
#############

Puedo probar en IE8, Firefox 3.5.3 y Safari 4

 

En todos los casos que el XSS se ejecuta incluso a IE8 con anti-XSS 😀

un usuario remoto puede redactar un documento html con un iframe y esta fuente para el iframe:

http://localhost:8101/wowd/index.html?search&sortby=rank%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E

el navegador ejecuta el XSS, y se  accede directamente a esta dirección URL:

 

de forma adicional Wowd puede mostrar sus resultados, ya que tenemos una funcionalidad para agregar “etiquetas” a una dirección URL.

Ejemplo:

http://localhost:8101/wowd/index.html?search&query=a&#038;
sortby=rank&tags=english|S0B0707656E676C6973680D02

Esto muestra una búsqueda indexada con la etiqueta ‘english’, se puede añadir una etiqueta diseñada por tí mismo que permita la ejecución de un XSS como: [tag]|[token]

ejemplo:

http://localhost:8101/wowd/index.html?search&query=a
&sortby=rank&tags=english|S0B0707656E676C6973680D02,
%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E|S0B0707656E676C6973680D02

y se ejecuta el XSS en las etiquetas de las etiquetas creadas

 

CTX se vé también variablemente afectado

http://localhost:8101/wowd/index.html?search&page=2&q=
&sortby=rank&tags=news|S0807046E6577730D02&ctx=1995393737681%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E

############## €nd ###################

Thnx To estrella to be my light
Thnx to all Lostmon Team !

atentamente:
Lostmon (lostmon@gmail.com)
——–
Browser: Internet Explorer 8 (Windows)
Browser: Firefox 3.5 (Windows)
Browser: Safari 4 (Windows)
———-

thz Lost 😉


Blog Stats

  • 612,704 visitas

RSS

Feed
septiembre 2017
L M X J V S D
« Sep    
 123
45678910
11121314151617
18192021222324
252627282930  

Usuarios online:

counter

Otras URL’s

TiraEcol

Tira Ecol
BlogESfera Directorio de Blogs Hispanos - Agrega tu Blog
Google PageRank 
		Checker