Ucha Gobejishvili, también conocido como longrifle0x, ha encontrado una vulnerabilidad de Cross Site Scripting en Google Apps. Aunque el fallo fue reportado el 21 de enero a los expertos de seguridad de Google y el riesgo se considera bajo, la vulnerabilidad todavía se puede explotar y podría permitir a un atacante robar cookies e incluso secuestrar cuentas.
La prueba de concepto es muy sencilla:
- Abre https://www.google.com/a/cpanel/premier/new3?hl=en y haz clic en 'Find Domain'.
- Pon el siguiente código: <1frame src="javascript:alert('XSS');">
Además, longrifle0x ha reportado recientemente otros XSS en sitios tan conocidos como los de Orange, Forbes, Myspace, MTV y Ferrari: http://xssed.com/archive/author=longrifle0x/special=1/
Update1: WTF! ¿por qué Blogger no filtra el código del IFRAME? ¿otro XSS en Blogger?
Update2: Una vez reportado, el Google Security Team confirma que sólo lo considerarían una vulnerabilidad si fuera posible ejecutar JS en el contexto de los dominios *.blogspot.com de otros usuarios o en blogger.com:
"Since the script is executing on a domain that does not have any sensitive
content, I can confirm the ability to include JavaScript on this page is
intentional; if you see any way in which this causes problems for other
Google services, please let us know.
Especially, please let us know if you find a way to execute JS in context
of other user's *.blogspot.com domain or in the context of blogger.com
domain - you can check this by displaying document.domain.
You can read more about bugs that qualify for a reward here:
http://www.google.com/corporate/rewardprogram.html "
Totalmente de acuerdo, ¡muchas gracias a los expertos de Google por la rápida respuesta!
La prueba de concepto es muy sencilla:
- Abre https://www.google.com/a/cpanel/premier/new3?hl=en y haz clic en 'Find Domain'.
- Pon el siguiente código: <1frame src="javascript:alert('XSS');">
Además, longrifle0x ha reportado recientemente otros XSS en sitios tan conocidos como los de Orange, Forbes, Myspace, MTV y Ferrari: http://xssed.com/archive/author=longrifle0x/special=1/
Update1: WTF! ¿por qué Blogger no filtra el código del IFRAME? ¿otro XSS en Blogger?
Fecha: 27/01/2012
Update2: Una vez reportado, el Google Security Team confirma que sólo lo considerarían una vulnerabilidad si fuera posible ejecutar JS en el contexto de los dominios *.blogspot.com de otros usuarios o en blogger.com:
"Since the script is executing on a domain that does not have any sensitive
content, I can confirm the ability to include JavaScript on this page is
intentional; if you see any way in which this causes problems for other
Google services, please let us know.
Especially, please let us know if you find a way to execute JS in context
of other user's *.blogspot.com domain or in the context of blogger.com
domain - you can check this by displaying document.domain.
You can read more about bugs that qualify for a reward here:
http://www.google.com/
Totalmente de acuerdo, ¡muchas gracias a los expertos de Google por la rápida respuesta!
En efecto amigos hace un par de dias, por casualidad me salio lo del xss publicando un post en mi blog, y pense que era que nadie habia notado anteriormente pero me puse a leer y veo que es un bug bastante viejo (nose si reír o llorar) y el cual podemos ver algo de eso en esta entrada desde el 2010
ResponderEliminarSecurity By Default
@45p1d4_16n15 ese post de Sbd era una broma por el día de los santos inocentes, no?
ResponderEliminar45p1d4_16n15 (vaya nick) mejor llora porque ese post era por el día de los inocentes, looser.
ResponderEliminar1 - Como comentan, la noticia de SbD es una broma, esto es real.
ResponderEliminar2 - WTF! a 05/12 sigue siendo explotable??
3 - Me habeis echo cambiar la contraseña de todas las cuentas en las que la utilizaba
Este comentario lo escribo desde la red del vecino para que no relacioneis IPs... ¬¬
Mira que sois dañinos :p
Hola @anonimo, como comentaba en la segunda actualización, lo reporté a Google y me respondieron que solo consideran una vulnerabilidad si es posible ejecutar Javascript en el contexto de los dominios *.blogspot.com de otros usuarios o en blogger.com.
ResponderEliminarComo el código lo puse con mi usuario en mi blog, pues entonces...