Vulnerabilidades de XSS almacenados en Facebook
abril 22, 2013 § Dejar un comentario
Nir Goldshlager, foundador y CEO de Break Security ha publicado una serie de vulnerabilidades de Cross-site Scripting almacenado en Facebook, que afectan al Chat, al Check In y a FB Messenger.
En este post, Nir comenta y publica los videos de las pruebas de concepto (PoC) de las vulnerabilidades encontradas.
Cristian de la Redacción de Segu-Info
Nueva vulnerabilidad en Google Docs ignorada
marzo 15, 2013 § Dejar un comentario
Ansuman Samantaray, un pentester indio descubrió una falla de seguridad pequeña, pero creativa en Google Drive que puede representar una amenaza de phishing a millones de usuarios y que Google ha ignorado desde diciembre, al igual que con esta otra.
Según Ansuman, existe una forma de ejecutar sentencia JavaScript en la vista previa de los documentos de Google Drive, lo cual permitiría ataques de phishing y propagación de malware (Drive-By).
Cuando un usuario de Google sube o crear un archivo en Google Drive/Docs, el parámetro “export” de la URL es igual a “download” de forma predeterminada.
https://docs.google.com/uc?authuser=0&id=0B6mcoM7O55_jWXp2N2FvdHBVTTg&export=download
Ansuman encontró que si un atacante cambia “export” por “view”, y el documento tiene un script, Google ejecuta el código en el navegador.
https://docs.google.com/uc?authuser=0&id=0B6mcoM7O55_jWXp2N2FvdHBVTTg&export=view
“Cualquier usuario de Internet puede escribir scripts maliciosos y guardarlo en un documeno paa luego enviarlo por correo electrónico a una víctima y que se ejecute el código en su navegador” le dijo a The Hacker News.
Con fines de demostración hay un archivo en Google Drive para descargar (se puede ver el script de la imagen) y para ver (se ejecuta el script) en donde queda claro la diferencia.
Cristian de la Redacción de Segu-Info
CursorJacking, una nueva demo
enero 21, 2013 § Dejar un comentario
Hace aproximadamente un año, Marcus Niemietz demostró técnica llamada CursorJacking. Esta técnica consiste en engañar a los usuarios mediante el uso de una imagen falsa del puntero del mouse y se muestra su desplazamiento a la derecha de la posición del puntero real. Con un posicionamiento inteligente de los elementos de la página web, un atacante podría dirigir al usuario a hacer clics en elementos deseados de dicha página.
Esta semana Mario Heiderich informó que la técnica funciona con distintos User-Agents, por lo que se podría fácilmente ocultar totalmente el cursor original del mouse original. Si se combina esto con el evento mousemove, una imagen del cursor del mouse y un poco de distracción, tenemos otro vector de ataque:
Aquí hay un “boceto” de ejemplo que utiliza esta técnica para lograr que el usuario haga clic en un botón de Twitter. En la vida real se podría perfeccionar.
Para protegerse, en Firefox se puede utilizar la extensión de NoScript ClearClick (una protección contra clickjacking), ya que detecta los clics en las áreas que están ocultos al usuario (por ejemplo, con la opacidad = 0).
Además también se puede ver otras aproximaciones y ataques similares en esta presentación de On the Fragility and Limitations of Current Browser-Provided Clickjacking Protection Schemes.
Cristian de la Redacción de Segu-Info
Evitar ataques XSS con PHP Input Filter
enero 5, 2013 § Dejar un comentario
Hoy una lección de seguridad en programación web: evitar que a vuestra página le hagan un ataque por XSS (Cross Site Scripting).
Hay frameworks como Symphony o CakePHP que ya se encargar de implementar este tipo de seguridad, al igual que también lo hacen ciertos gestores de contenidos. Pero si se da el caso de que no estás usando ninguno, estás haciendo PHP “a pelo”, lo mejor será que recurramos a la clase PHP Input Filter. Dicha clase permite filtrar código malicioso ingresado en los formularios para prevenir ataques XSS de manera sencilla, pero tiene la cualidad de no limpiar determinadas etiquetas o atributos si queremos.
Para utilizar esta clase, la descargaremos desde el enlace anterior e incluiremos class.inputfilter.php al inicio de nuestro códgi. Luego crearemos una instancia de la clase InputFilter, entonces podremos filtrar los datos con el método process:
require_once("class.inputfilter.php");
$filter = new InputFilter();
$variable = $filter->process($_POST['variable']);
Esto nos permitiría limpiar de etiquetas la variable enviada por $_POST llamada variable. ¿Y si queremos limpiar todos los campos enviados por el método post? Pues basta con pasarle todo el array:
$_POST = $filter->process($_POST);
Y con eso tendríamos el array $_POST limpio de etiquetas y securizado.
Pero ¿y si queremos permitir ciertas etiquetas? Imaginemos que desde un input text metemos texto formateado, y nos interesa que sí puedan subir saltos de línea, texto en negrita o cursiva. Pues muy sencillo también, ya que basta con pasar en la creación del objeto InputFilter un array con las etiquetas que queremos conservar como parámetro:
$filter = new InputFilter(array('em', 'i', 'br', 'b', 'strong'));
$_POST = $filter->process($_POST);
Y esto se puede llevar más allá, porque también podemos decir que se permitan ciertos atributos de ciertas etiquetas. Por ejemplo, imaginemos que queremos permitir que inserten enlaces junto a su href y a su id, pero ningún atributo más:
$filter = new InputFilter(array('a'), array('href', 'id'));
$enlace = $filter->process($_POST['enlace']);
Tras el array de etiquetas pasamos otro array de atributos, simplemente.
Con estos sencillos consejos lograrás que tus formularios sean más seguros en PHP.
Fuente: DonniRock
Venden exploit 0-day para secuestrar cuentas de Yahoo!
noviembre 30, 2012 § Dejar un comentario
Un egipcio puso a la venta, por sólo $700 dólares, una vulnerabilidad de día cero para el correo electrónico de Yahoo!, lo que permite que un ciberdelincuente aproveche un Cross-site-scripting (XSS) para robar las cookies y secuestrar las cuentas.
Por lo general, un atacante envía un enlace malicioso en un correo electrónico, el script se ejecuta cuando el receptor hace clic en el link, lo que permite el acceso a las cookies y otra información sensible.
“Después de que la víctima hace clic en el enlace, será redirigido a la página de email otra vez. Y, posteriormente, se le puede dirigir a cualquier lugar que se quiera”, dijo el hacker autodenominado TheHell Hunter en el video de demostración. Allí asegura en el video que el costo que da tiene una muy buena oferta, pues este tipo de vulnerabilidades son vendidas hasta en el doble.
“Estoy vendiendo XSS de Yahoo que roba cookies de correo electrónico y funciona en cualquier navegador. Además no es necesario pasar por alto los filtros XSS de Internet Explorer o Chrome, y esto lo hace porque almacena XSS. Los precios para este exploit rondan de los $1,100 dólares a los $1,500 dólares, mientras yo lo ofrezco por $700 dólares y lo venderé sólo a personas de confianza, no quiero que sea parchado pronto”, comentó el cibercriminal.
El director de seguridad de Yahoo! Ramses Martínez aseguró a KrebsOnSecurity, quienes alertaron a la compañía estadounidense postearon el video en YouTube, que arreglar la vulnerabilidad será fácil, lo complicado es encontrar dónde se encuentra.
Fuente: bSecure
Ahora XSS en MSN (cartón lleno)
noviembre 14, 2012 § Dejar un comentario
Recién acabamos de informar de un XSS en Google, ayer fueron reportados otros en Paypal y Apple y ahora Hacker de Team Inj3ct0r reportó otro en el sitio de http://news.de.msn.com/.
Según se puede comprobar el XSS funciona en Internet Explorer y Opera.
Cristian de la Redacción de Segu-Info
XSS en Google (lo que faltaba!)
noviembre 14, 2012 § 2 comentarios
Después del alboroto sobre el agujero de seguridad de Skype, apareció un Cross Site Scripting (XSS) en GoogleUserContent.com que permite a un atacante crear un sitio de phishing que se aloja en Google.com, o al menos uno que se parece a él. En otras palabras, las víctimas podrían ser engañadas para ingresasr sus datos verdaderos de la cuenta de Google, pensando que realmente están en Google.com.
De acuerdo con The Hacker News, la historia es un poco más complicada. Hace dos meses, Mohit Kumar descubrió una vulnerabilidad de XSS en el dominio de Google, escribió una prueba de concepto y la reportó a la empresa el 11 de septiembre.
Según Kumar, Google no se molestó por el tema y le informó que no era explotable. Por lo tanto tampoco le concedió su recompensa Kumar.
Para empeorar las cosas, ayer otro hacker búlgaro “Keeper” informó que la vulnerabilidad sigue activa, después de múltiples denuncias a Google. Los hackers crearon una página de phishing usando la falla de XSS persistente “para poder demostrar al mundo de que no se trata de un error menor”.
Así es como se ve la página falsa:
Esto es sólo una prueba de concepto, pero realmente parece una página de acceso legítimo de Google alojada en el dominio de Google.com, pero en realidad es un sitio de phishing que roba las credenciales de acceso. Si bien no se brindan detalles, queda claro que el dominio Google.com está siendo abusado.
Cristian de la Redacción de Segu-Info
XSS en Joomla 3.0 usado en defaces. Parchea!
octubre 9, 2012 § 3 comentarios
En el día de hoy, me toco investigar si existía alguna vulnerabilidad 0-Day para Joomla por un sitio que fue defaceado (cambiado en su pagina de inicio).
Investigando al defacer, me encuentro que la mayoría de los sitios modificados tenían dos elementos en común, el primero es que eran sitios de gobiernos y el segundo es que todos usaban el CMS Joomla.
Realizando la investigación junto al administrador de uno de los sitios atacados, me comenta que durante los últimos días habían recibido varios defaces, sin haber podido determinar la raíz del problema y siendo que todo estaba aparentemente parcheado.
Luego de considerar y descartar posibles vulnerabilidades de SQL Injection o en el servidor MySQL me decanté por un problema existente en la última versión de Joomla 3.0.
Efectivamente se trata de una vulnerabilidad de XSS el componente de búsqueda y acaba de ser corregida hace minutos en la versión 3.0.1, por lo cual la recomendación es parchear de forma urgente porque la misma está siendo aprovechada por los delincuentes.
La vulnerabilidad sólo afecta a Joomla 3.0.
Adolfo de la Redacción de Segu-Info
Google soluciona varios XSS en GMail
junio 15, 2012 § Dejar un comentario
Esta semana Google ha cerrado varias agujeros de Cross-site Scripting (XSS) en su servicio de correo electrónico de GMail.
GMail tiene más de 350 millones de usuarios activos y estas vulnerabilidades podrían haber permitido a un atacante inyectar un script dañino en el sistema de la víctima. El investigador de seguridad Nils Juenemann descubrió tres vulnerabilidades diferentes de XSS en GMail y las dió a conocer al equipo de seguridad de Google, como parte del programa de recompensas de la compañía, en el cual los investigadores son recompensados hasta con 20.000 dólares por informar de errores en los servicios.
Los casos fueron de una vulnerabilidad XSS persistente en una URL especialmente modificada, otra basada en el DOM (Document Object Model) y la otra basada en un error en la visualización de objetos en el móvil.
Juenemann dijo que el equipo de seguridad de Google se apresuró a corregir los errores después de que se los informa.
Fuente: H-Online
Auditar vulnerabilidades XSS
abril 21, 2012 § Dejar un comentario
Según la OWASP los ataques XSS (Cross-Site Scripting) siguen siendo los vencedores en cuanto a explotación de vulnerabilidades en entornos web se refiere. Los ataques XSS tratan de aprovecharse de vulnerabilidades generadas por una incorrecta validación de datos de entrada en una aplicación web. Básicamente se trata de engañar al usuario para que pulse la URL manipulada de forma precisa para que al abrirse, ejecute código Javascript que será interpretado en el navegador del usuario. Este tipo de ataques pueden ser utilizados para robar cookies de sesión, inyectar código en nuestra página o incluso comprometer nuestras máquinas con ayuda de frameworks como “BeEF” (Browser Exploitation Framework).
Generalmente estos ataques están catalogados como “no persistentes” al ejecutarse en el contexto del navegador sin modificar la página web original. Por otro lado, los conocidos como “persistentes” son más peligrosos ya que el código Javascript es directamente insertado en una base de datos de tal forma que todos los usuarios que visualicen registros de dicha BBDD se verán afectados. Existe gran cantidad de referencias sobre XSS para entender su funcionamiento, tipos y medidas preventivas recomendables para evitar este tipo de problemas.
Hasta hace unos años, la mayor parte de ataques XSS se centraban en ataques de phishing, robo de cookies, redireccionamientos de URL, defacements, carga de iframes con código malicioso, etc. pero poco a poco van surgiendo técnicas más sofisticadas que van un paso más allá y que hacen valorar en mayor medida la importancia de este tipo de ataques. “Shell of the Future” o “BeFF” son un claro ejemplo de ello.
El siguiente vídeo tiene por objetivo mostrar el uso de algunas herramientas gratuitas para auditar nuestro sitio web en busca de vulnerabilidades XSS. En un principio se utilizará la versión Free de Acunetix sobre una página de prueba. Posteriormente se mostrará XSSer, herramienta opensource creada especialmente para localizar y aprovecharse de vulnerabilidades XSS.
Buenas prácticas de programación y estar al día de los últimos ataques y vulnerabilidades es la mejor receta para prevenir este tipo de ataques.
Fuente: INTECO-CERT
