Visualizzazione dei risultati da 1 a 7 su 7
  1. #1
    Guest
    Registrato dal
    Jun 2012
    residenza
    Espoo, Finland
    Messaggi
    286

    OMG quando XSS & co. vanno a braccetto

    Stavo curiosando su un NOTO ecommerce di hardware UK e ho trovato due vulnerabilita'... la prima e' mi sono fatto administrator attraverso un form che non filtra i parametri passati quando aggiorni il tuo profilo (mass assignment), ed e' stato facile indovinare il parametro per lo user role

    La seconda, anch'essa seria, e' una XSS dovuta ad un editor wysiwyg per le descrizioni dei prodotti che non fa la sanitisation della descrizione quando la si salva oppure quando viene resa nella pagina.

    In pratica, posso fare varie cose, come danneggiare il contenuto del sito oppure, peggio: 1) entrare col mio account diventato admin, 2) editare la descrizione di qualche prodotto popolare aggiungendo/nascondendo nell'HTML uno snippet JavaScript che, una volta che si rende la descrizione nel browser, mandi i cookies degli altri utenti su requestbin o simili, in modo da poter entrare con gli account degli altri clienti e vedere cosi' i loro dati etc... In questo modo vista la presenza di queste vulnerabilita' in primo luogo, si potrebbero raccogliere i dati degli utenti anche per un bel po' prima che se ne accorgano. Per i pagamenti usano un 3rd party gateway pero' sono disponibili le ultime 4 cifre della carta di credito e la risposta a domande tipo il nome del primo animale domestico, che spesso vengono usate per autenticazione / password recovery su vari siti. Mi sono fermato li' ma vista la poca attenzione non mi stupirei se ci fosse qualcos'altro...

    Per il momento mi sono resettato lo user role e ho tolto lo snippet per catturare i cookies dalla descrizione di un prodotto che avevo preso per provare. Che faccio ora? Potrei pure provare a comunicarlo a loro pero' come spiego come ho trovato sta roba? Ogni volta e' un problema perche' non sai mai come possano reagire. Alcuni ti ringraziano ma spesso possono accusarti etc. perche' ovviamente non mi hanno autorizzato loro a controllare queste cose.

  2. #2
    Utente di HTML.it L'avatar di Linkato
    Registrato dal
    Dec 2002
    Messaggi
    487
    Quote Originariamente inviata da Little Hawk Visualizza il messaggio
    Stavo curiosando su un NOTO ecommerce di hardware UK e ho trovato due vulnerabilita'... la prima e' mi sono fatto administrator attraverso un form che non filtra i parametri passati quando aggiorni il tuo profilo (mass assignment), ed e' stato facile indovinare il parametro per lo user role La seconda, anch'essa seria, e' una XSS dovuta ad un editor wysiwyg per le descrizioni dei prodotti che non fa la sanitisation della descrizione quando la si salva oppure quando viene resa nella pagina.In pratica, posso fare varie cose, come danneggiare il contenuto del sito oppure, peggio: 1) entrare col mio account diventato admin, 2) editare la descrizione di qualche prodotto popolare aggiungendo/nascondendo nell'HTML uno snippet JavaScript che, una volta che si rende la descrizione nel browser, mandi i cookies degli altri utenti su requestbin o simili, in modo da poter entrare con gli account degli altri clienti e vedere cosi' i loro dati etc... In questo modo vista la presenza di queste vulnerabilita' in primo luogo, si potrebbero raccogliere i dati degli utenti anche per un bel po' prima che se ne accorgano. Per i pagamenti usano un 3rd party gateway pero' sono disponibili le ultime 4 cifre della carta di credito e la risposta a domande tipo il nome del primo animale domestico, che spesso vengono usate per autenticazione / password recovery su vari siti. Mi sono fermato li' ma vista la poca attenzione non mi stupirei se ci fosse qualcos'altro...Per il momento mi sono resettato lo user role e ho tolto lo snippet per catturare i cookies dalla descrizione di un prodotto che avevo preso per provare. Che faccio ora? Potrei pure provare a comunicarlo a loro pero' come spiego come ho trovato sta roba? Ogni volta e' un problema perche' non sai mai come possano reagire. Alcuni ti ringraziano ma spesso possono accusarti etc. perche' ovviamente non mi hanno autorizzato loro a controllare queste cose.
    Denuncia anonima se non ti interessa la gloria, ma solo far del bene...
    Primo Ministro Conte: "Sarà un anno bellissimo!"

  3. #3
    Guest
    Registrato dal
    Jun 2012
    residenza
    Espoo, Finland
    Messaggi
    286
    Quote Originariamente inviata da Linkato Visualizza il messaggio
    Denuncia anonima se non ti interessa la gloria, ma solo far del bene...
    Ci ho pensato, pero' poi mi sono chiesto se per caso hanno audit logs dove possono vedere che mi sono fatto admin. Non penso perche' appunto hanno queste vulnerabilita' (almeno) ma non si sa mai. Ignoro?

  4. #4
    Utente di HTML.it L'avatar di Linkato
    Registrato dal
    Dec 2002
    Messaggi
    487
    Quote Originariamente inviata da Little Hawk Visualizza il messaggio
    Ci ho pensato, pero' poi mi sono chiesto se per caso hanno audit logs dove possono vedere che mi sono fatto admin. Non penso perche' appunto hanno queste vulnerabilita' (almeno) ma non si sa mai. Ignoro?
    Ma questi "esperimenti" li hai fatti senza proteggerti con almeno un proxy?
    Primo Ministro Conte: "Sarà un anno bellissimo!"

  5. #5
    Guest
    Registrato dal
    Jun 2012
    residenza
    Espoo, Finland
    Messaggi
    286
    Quote Originariamente inviata da Linkato Visualizza il messaggio
    Ma questi "esperimenti" li hai fatti senza proteggerti con almeno un proxy?
    3-point vpn Svizzera-Germania-Olanda ma l'account era mio

  6. #6
    Amministratore L'avatar di Vincent.Zeno
    Registrato dal
    May 2003
    residenza
    Emilia-Romagna (tortellini und cappelletti land!)
    Messaggi
    20,649
    Quote Originariamente inviata da Little Hawk Visualizza il messaggio
    3-point vpn Svizzera-Germania-Olanda...
    questo più il personaggio dell'avatar mi fa capire chi ha fatto casini con la posta delle clinton

  7. #7
    Guest
    Registrato dal
    Jun 2012
    residenza
    Espoo, Finland
    Messaggi
    286
    Quote Originariamente inviata da Vincent.Zeno Visualizza il messaggio
    questo più il personaggio dell'avatar mi fa capire chi ha fatto casini con la posta delle clinton


Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.