POC de un XSS en docs.google.com
Esta vulnerabilidad fue presentada en esta misma página en agosto del año pasado y ahora recobra vida!, se trata de un XSS (Cross site scripting) en la aplicación de Google docs.
Gracias de nuevo a Fernando Muñoz (http://www.beford.org) por darme la oportunidad de hacer unas cuantas pruebas sobre la vulnerabilidad.
La vulnerabilidad hasta noviembre 9 del presente año (solucionada) se encontraba en el script "viewer" con la variable "url", en la raíz de la web docs.google.com (http://docs.google.com/viewer?url=http://"). La vulnerabilidad gira entorno a los enlaces configurados en una palabra, al ingresar como enlace en un texto la cadena "javascript:alert(1);".
Un atacante podía inyectar código de una forma arbitraria, este código sería evaluado por el navegador como parte de la web docs.google.com, se muestra en el video adjunto como el atacante podría aprovecharse de esta vulnerabilidad para obtener desde la lista de contactos de una víctima hasta su nombre de usuario y contraseña.
El video trata principalmente de hacerle un llamado a todas las personas, y mostrarles como algo tan inofensivo como una presentación o un documento pdf puede llegar a convertirse en un potencial vector de ataque.
Algunos tips de seguridad
Desconfiar de absolutamente TODO con las tecnologías crecientes, como pueden ver en el video, una simple presentación o un archivo PDF pueden ser muy engañosos.
Verificar la identidad de la persona que te manda un correo, no sólo basta con fijarse en la dirección de correo electrónico (Ya que ésta se puede modificar fácilmente), algo simple para verificar la identidad es reconocer el modo de escritura de la persona, y algo más avanzado es observar el correo en crudo (raw).
Nunca dar clic a enlaces enviados por correos electrónicos, a no ser que provenga de una persona conocida y a la cual le tenemos confianza.
Los archivos usados en el video los puedes encontrar en este enlace: http://www.sinfocol.org/archivos/2009/11/docs.google.com_xss.zip, también los pueden encontrar en sus formas individuales en la carpeta http://www.sinfocol.org/archivos/2009/11/
Fuente: Sinfocol
Gracias de nuevo a Fernando Muñoz (http://www.beford.org) por darme la oportunidad de hacer unas cuantas pruebas sobre la vulnerabilidad.
La vulnerabilidad hasta noviembre 9 del presente año (solucionada) se encontraba en el script "viewer" con la variable "url", en la raíz de la web docs.google.com (http://docs.google.com/viewer?url=http://"). La vulnerabilidad gira entorno a los enlaces configurados en una palabra, al ingresar como enlace en un texto la cadena "javascript:alert(1);".
Un atacante podía inyectar código de una forma arbitraria, este código sería evaluado por el navegador como parte de la web docs.google.com, se muestra en el video adjunto como el atacante podría aprovecharse de esta vulnerabilidad para obtener desde la lista de contactos de una víctima hasta su nombre de usuario y contraseña.
El video trata principalmente de hacerle un llamado a todas las personas, y mostrarles como algo tan inofensivo como una presentación o un documento pdf puede llegar a convertirse en un potencial vector de ataque.
Algunos tips de seguridad
Desconfiar de absolutamente TODO con las tecnologías crecientes, como pueden ver en el video, una simple presentación o un archivo PDF pueden ser muy engañosos.
Verificar la identidad de la persona que te manda un correo, no sólo basta con fijarse en la dirección de correo electrónico (Ya que ésta se puede modificar fácilmente), algo simple para verificar la identidad es reconocer el modo de escritura de la persona, y algo más avanzado es observar el correo en crudo (raw).
Nunca dar clic a enlaces enviados por correos electrónicos, a no ser que provenga de una persona conocida y a la cual le tenemos confianza.
Los archivos usados en el video los puedes encontrar en este enlace: http://www.sinfocol.org/archivos/2009/11/docs.google.com_xss.zip, también los pueden encontrar en sus formas individuales en la carpeta http://www.sinfocol.org/archivos/2009/11/
Fuente: Sinfocol
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!