XSS persistente en el dominio de Blogger

Question

XSS persistente en el dominio de Blogger

#1 de SilverlightFox (3 votos)
#2 de RatboySTL (1 votos)

0

He descubierto XSS persistente en el dominio de blogger. He informado de una vulnerabilidad al equipo de seguridad de Google y recibí esta es la respuesta:

Los usuarios pueden colocar JavaScript arbitrario, Flash, Java, etc. en sus [nombre de usuario] .blogspot.com dominios; esto es por diseño Estas los dominios están completamente aislados de otros contenidos de Google, y por lo tanto, El riesgo de visitarlos no es diferente a navegar a cualquier otro sitio web en internet.

Tenga en cuenta que no hay cookies de autenticación u otra información confidencial en estos dominios; la administración del blog se implementa en blogger.com, en su lugar ".

El dominio mencionado en su envío es lo que llamamos un 'sandbox' dominio'. Estos están destinados específicamente para alojar controlados por usuarios y Contenido potencialmente malicioso y están aislados de cualquier información confidencial. datos, gracias a las restricciones de la Política de Origen Mismo

Obviamente, no recibí la recompensa. Sin embargo, me gustaría preguntar qué otros vectores de ataque pueden ser útiles para los atacantes en este caso, aparte del phishing.

web-application attacks xss

pregunta Michal Koczwara 30.07.2015 - 15:45

fuente

2 respuestas

1

Registradores de teclas en JavaScript ... cadena de inyección de BeEF (una cadena de JavaScript que permite a BeEF "enganchar" el navegador ... "

También ... puedes redirigirlos a www.myevilsite.org (somos una organización, ya sabes ... hemos incorporado ...) y hacer lo que quieran para SOP o no y devolverte correctamente. volver al sitio de Google con el usuario final no siendo más sabio.

Google puede inclinarse en este caso, OMI.

respondido por el RatboySTL 30.07.2015 - 15:51

fuente

Lea otras preguntas en las etiquetas web-application attacks xss

Cifrado y firma con la misma clave privada RSA MITM en sitios populares - DNS

score 3 · Accepted Answer

Si has hecho que tu contenido sea malicioso y has atraído a un usuario para que visite tu blog, entonces ya has tenido éxito con tu ataque.

Esto es lo mismo que alojar su propio sitio web que contiene contenido malicioso y atraer a un usuario para que lo visite. La única ventaja puede ser si es probable que su usuario objetivo confíe en un dominio *.blogspot.com más que en otro arbitrario.

Descontando el phishing (por ejemplo, mostrando un cuadro de nombre de usuario y contraseña y pidiéndole al usuario que inicie sesión en su cuenta de Google), el tipo de ataques que podría lanzar es:

Redirigir a un usuario a otro sitio con un defecto XSS reflejado.
Código de vulnerabilidad del navegador de alojamiento como Colspan de Microsoft Internet Explorer Procesamiento de código de código arbitrario .
Redireccionar al usuario a un sitio de malware o a una descarga de malware.
Ejecutando un ataque CSRF.

Nuevamente, como el usuario tiene que ir primero a su sitio, debe tener cierta confianza básica en él, por lo que estoy de acuerdo con Google en que cualquier código malicioso solo puede comprometer el dominio de sandbox, que no tiene ningún concepto de sesiones de usuario o datos sensibles en sí.