PDA

Visualizza la versione completa : OMG quando XSS & co. vanno a braccetto


Little Hawk
15-10-2016, 20:40
Stavo curiosando su un NOTO ecommerce di hardware UK e ho trovato due vulnerabilita'... la prima e' mi sono fatto administrator attraverso un form che non filtra i parametri passati quando aggiorni il tuo profilo (mass assignment), ed e' stato facile indovinare il parametro per lo user role :D

La seconda, anch'essa seria, e' una XSS dovuta ad un editor wysiwyg per le descrizioni dei prodotti che non fa la sanitisation della descrizione quando la si salva oppure quando viene resa nella pagina.

In pratica, posso fare varie cose, come danneggiare il contenuto del sito oppure, peggio: 1) entrare col mio account diventato admin, 2) editare la descrizione di qualche prodotto popolare aggiungendo/nascondendo nell'HTML uno snippet JavaScript che, una volta che si rende la descrizione nel browser, mandi i cookies degli altri utenti su requestbin o simili, in modo da poter entrare con gli account degli altri clienti e vedere cosi' i loro dati etc... In questo modo vista la presenza di queste vulnerabilita' in primo luogo, si potrebbero raccogliere i dati degli utenti anche per un bel po' prima che se ne accorgano. Per i pagamenti usano un 3rd party gateway pero' sono disponibili le ultime 4 cifre della carta di credito e la risposta a domande tipo il nome del primo animale domestico, che spesso vengono usate per autenticazione / password recovery su vari siti. Mi sono fermato li' ma vista la poca attenzione non mi stupirei se ci fosse qualcos'altro...

Per il momento mi sono resettato lo user role e ho tolto lo snippet per catturare i cookies dalla descrizione di un prodotto che avevo preso per provare. Che faccio ora? Potrei pure provare a comunicarlo a loro pero' come spiego come ho trovato sta roba? Ogni volta e' un problema perche' non sai mai come possano reagire. Alcuni ti ringraziano ma spesso possono accusarti etc. perche' ovviamente non mi hanno autorizzato loro a controllare queste cose. :spy:

Linkato
15-10-2016, 20:43
Stavo curiosando su un NOTO ecommerce di hardware UK e ho trovato due vulnerabilita'... la prima e' mi sono fatto administrator attraverso un form che non filtra i parametri passati quando aggiorni il tuo profilo (mass assignment), ed e' stato facile indovinare il parametro per lo user role :DLa seconda, anch'essa seria, e' una XSS dovuta ad un editor wysiwyg per le descrizioni dei prodotti che non fa la sanitisation della descrizione quando la si salva oppure quando viene resa nella pagina.In pratica, posso fare varie cose, come danneggiare il contenuto del sito oppure, peggio: 1) entrare col mio account diventato admin, 2) editare la descrizione di qualche prodotto popolare aggiungendo/nascondendo nell'HTML uno snippet JavaScript che, una volta che si rende la descrizione nel browser, mandi i cookies degli altri utenti su requestbin o simili, in modo da poter entrare con gli account degli altri clienti e vedere cosi' i loro dati etc... In questo modo vista la presenza di queste vulnerabilita' in primo luogo, si potrebbero raccogliere i dati degli utenti anche per un bel po' prima che se ne accorgano. Per i pagamenti usano un 3rd party gateway pero' sono disponibili le ultime 4 cifre della carta di credito e la risposta a domande tipo il nome del primo animale domestico, che spesso vengono usate per autenticazione / password recovery su vari siti. Mi sono fermato li' ma vista la poca attenzione non mi stupirei se ci fosse qualcos'altro...Per il momento mi sono resettato lo user role e ho tolto lo snippet per catturare i cookies dalla descrizione di un prodotto che avevo preso per provare. Che faccio ora? Potrei pure provare a comunicarlo a loro pero' come spiego come ho trovato sta roba? Ogni volta e' un problema perche' non sai mai come possano reagire. Alcuni ti ringraziano ma spesso possono accusarti etc. perche' ovviamente non mi hanno autorizzato loro a controllare queste cose. :spy:Denuncia anonima se non ti interessa la gloria, ma solo far del bene...

Little Hawk
15-10-2016, 20:45
Denuncia anonima se non ti interessa la gloria, ma solo far del bene...

Ci ho pensato, pero' poi mi sono chiesto se per caso hanno audit logs dove possono vedere che mi sono fatto admin. Non penso perche' appunto hanno queste vulnerabilita' (almeno) ma non si sa mai. Ignoro?

Linkato
16-10-2016, 13:43
Ci ho pensato, pero' poi mi sono chiesto se per caso hanno audit logs dove possono vedere che mi sono fatto admin. Non penso perche' appunto hanno queste vulnerabilita' (almeno) ma non si sa mai. Ignoro?

Ma questi "esperimenti" li hai fatti senza proteggerti con almeno un proxy?
:jam:

Little Hawk
16-10-2016, 14:20
Ma questi "esperimenti" li hai fatti senza proteggerti con almeno un proxy?
:jam:

3-point vpn Svizzera-Germania-Olanda ma l'account era mio :stordita:

Vincent.Zeno
16-10-2016, 15:02
3-point vpn Svizzera-Germania-Olanda...
questo pił il personaggio dell'avatar mi fa capire chi ha fatto casini con la posta delle clinton :madai!?:

Little Hawk
16-10-2016, 15:15
questo pił il personaggio dell'avatar mi fa capire chi ha fatto casini con la posta delle clinton :madai!?:


:stordita:

Loading