Validación incorrecta de parámetros en Twitter (solucionado)
Hemos encontrado y reportado un error muy tonto en la validación de parámetros de ingreso en las URL de Twitter.
El error se encontraba (ya ha sido solucionado) al momento de intentar ingresar a una sección de Twitter sin haber realizado el login previo. En este caso Twitter solicita (correctamente) las credenciales de ingreso y en la URL indica, en el parámetro redirect_after_login, a donde debe redirigirse al usuario luego del login satisfactorio. Aquí puede verse esta acción indicando que se visualice la pantalla de seguidores/followers del usuario:
El error radicaba en que si se modificaba el contenido del parámetro mencionado, colocando una URL válida, Twitter no validaba dicha URL:
Es decir que luego del login correcto el usuario será redirigido al sitio indicado (en este caso a Segu-Info).
Esta validación incorrecta era realizada en todas las URL de redirección de Twitter y podía ser utilizada para enviar al usuario a sitios falsos de Twitter y hacerle ingresar sus datos de autenticación nuevamente; es decir un ataque de Phishing o para engañar filtros antispam (entre otras cosas).
Debido a lo simple del error es "normal" que Twitter "olvidara" comunicarse con nosotros para informarnos de la solución del problema ya que, seguramente, cientos de usuarios también lo hayan reportado antes y después que nosotros.
Errores de esta característica simples, tontos y que deberían ser evitados/detectados por cualquier programador/analista/QA principiante, deberían hacer pensar en serio sobre la seguridad en sitios web tan visitados como estos (y en cualquier otro).
Si Twitter conservaba aún este error de validación, ¿que podemos esperar sobre la confidencialidad de nuestra información?
Actualización 21:50 hs: el error fue reportado por nosotros el 27 de junio pero otras personas quizás lo reportaron antes y después.
Actualización 22:00 hs: tal y como adelanté en el post este error debe haber sido reportado al menos una centena de veces por distintas personas e investigadores.
Actualización 22:30 hs: Nahuel Grisolía de Bonsai Information Security nos informa que él también reportó la vulnerabilidad el 1 de julio y se publicó la solución el 2 de agosto, luego de su trabajo coordinado con Twitter.
Cristian de la Redacción de Segu-Info
El error se encontraba (ya ha sido solucionado) al momento de intentar ingresar a una sección de Twitter sin haber realizado el login previo. En este caso Twitter solicita (correctamente) las credenciales de ingreso y en la URL indica, en el parámetro redirect_after_login, a donde debe redirigirse al usuario luego del login satisfactorio. Aquí puede verse esta acción indicando que se visualice la pantalla de seguidores/followers del usuario:
El error radicaba en que si se modificaba el contenido del parámetro mencionado, colocando una URL válida, Twitter no validaba dicha URL:
Es decir que luego del login correcto el usuario será redirigido al sitio indicado (en este caso a Segu-Info).
Esta validación incorrecta era realizada en todas las URL de redirección de Twitter y podía ser utilizada para enviar al usuario a sitios falsos de Twitter y hacerle ingresar sus datos de autenticación nuevamente; es decir un ataque de Phishing o para engañar filtros antispam (entre otras cosas).
Debido a lo simple del error es "normal" que Twitter "olvidara" comunicarse con nosotros para informarnos de la solución del problema ya que, seguramente, cientos de usuarios también lo hayan reportado antes y después que nosotros.
Errores de esta característica simples, tontos y que deberían ser evitados/detectados por cualquier programador/analista/QA principiante, deberían hacer pensar en serio sobre la seguridad en sitios web tan visitados como estos (y en cualquier otro).
Si Twitter conservaba aún este error de validación, ¿que podemos esperar sobre la confidencialidad de nuestra información?
Actualización 21:50 hs: el error fue reportado por nosotros el 27 de junio pero otras personas quizás lo reportaron antes y después.
Actualización 22:00 hs: tal y como adelanté en el post este error debe haber sido reportado al menos una centena de veces por distintas personas e investigadores.
Actualización 22:30 hs: Nahuel Grisolía de Bonsai Information Security nos informa que él también reportó la vulnerabilidad el 1 de julio y se publicó la solución el 2 de agosto, luego de su trabajo coordinado con Twitter.
Cristian de la Redacción de Segu-Info
Hola! Soy Nahuel Grisolía, líder de proyectos en Bonsai Information Security (www.bonsai-sec.com)
ResponderBorrarEsta vulnerabilidad fue reportada por nosotros a Twitter el día 1 de Julio del corriente año y fue reparada hace unos pocos días atrás.
Hemos escrito un blog post acerca de esto (http://www.bonsai-sec.com/blog/index.php/twitter-open-redirection-vulnerability/) y tenemos el Advisory original bajo la siguiente URL: http://www.bonsai-sec.com/en/research/vulnerabilities/twitter-open-redirect-0108.php
El mismo 3 de Agosto, salió a Full Disclosure el anterior Advisory para alertar a la comunidad.
Tal vez, y dado que Twitter contestó muy brevemente nuestros intentos de entablar diálogo fluído, es posible que esta adjudicación de la vulnerabilidad sea un error o, por parte de nosotros (en el caso de que ustedes la hayan reportado con anterioridad y Twitter no nos lo hizo saber), o por parte de ustedes.
Sería bueno que dieran a conocer más detalles sobre este tipo de alertas para que la comunidad no confunda autorías sobre los hechos que suceden en este mundo de la Seguridad de la Información.
Muchas Gracias!
Nahuel Grisolía
nahuel at bonsai-sec dot com
Estimados.
ResponderBorrarEste error fue reportado hace 2 meses por Nahuel Grisolia. Aca te dejo el link a tweet del 1 de Junio. No es nada nuevo.
http://twitter.com/cintainfinita/status/17535472014
Saludos!
Gonzalo Duperré
Gente, no es un tema de adjudicación de quien "encontró" esto ya que como digo en el post es algo tan simple y tonto que lo deben haber reportado una centena de personas en distintos lugares. Ponerse a discutir sobre esto es como intentar averiguar si fue la gallina o el huevo :)
ResponderBorrarCristian
De hecho, la gallina fue antes que el huevo!
ResponderBorrarhttp://www.eltiempo.com/vidadehoy/ciencia/la-gallina-fue-antes-que-el-huevo_7842464-1
Saludos!! =)
Muchas Gracias por las actualizaciones y comentarios. Nahuel Grisolía.
ResponderBorrar