XSS persistente nel dominio Blogger

Question

XSS persistente nel dominio Blogger

#1 da (3 voti)
#2 da (1 voti)

0

Ho scoperto XSS persistente nel dominio di Blogger. Ho segnalato una vulnerabilità a Google Security Team e ho ricevuto questa risposta:

Users are permitted to place arbitrary JavaScript, Flash, Java, etc, in their [username].blogspot.com domains; this is by design. These domains are fully isolated from other Google content, and therefore, the risk in visiting them is no different to navigating to any other website on the Internet.

Si noti che non ci sono cookie di autenticazione o altre informazioni sensibili in questi domini; la gestione dei blog è implementata su blogger.com "

The domain mentioned in your submission is what we call a 'sandbox domain'. These are meant specifically to host user-controlled and potentially malicious content and are isolated from any sensitive data, thanks to Same Origin Policy restrictions

Quindi ovviamente non ho ricevuto la taglia, tuttavia vorrei chiedere quali altri vettori di attacco possono essere utili per gli attaccanti in questo caso oltre al phishing?

web-application attacks xss

posta Michal Koczwara 30.07.2015 - 15:45

fonte

2 risposte

1

Keylogger in JavaScript ... BeEF injection string (una stringa JavaScript per consentire a BeEF di "agganciare" il browser ... "

Inoltre .... puoi reindirizzarli a www.myevilsite.org (siamo un'organizzazione che conosciamo .. abbiamo incorporato ...) e fare tutto ciò che vogliono per te SOP o no e restituirti correttamente torna al sito di google w / l'utente finale è nessuno-il-saggio.

Google può essere piegato su questo, IMO.

risposta data 30.07.2015 - 15:51

fonte

Leggi altre domande sui tag web-application attacks xss

Chrome / Opera continua a salvare e compilare automaticamente le password dopo aver installato LastPass? Bene o male? Abilita / Disabilita? Il modo migliore per inviare in modo sicuro le password da un'applicazione a un server gestito dall'utente

score 3 · Accepted Answer

Se hai reso il tuo contenuto dannoso e hai indotto un utente a visitare il tuo blog, hai già avuto successo con il tuo attacco.

Ciò equivale a ospitare il tuo sito web contenente contenuti dannosi e ad attirare l'attenzione di un utente. L'unico vantaggio potrebbe essere se il tuo utente di destinazione probabilmente si fida di un dominio *.blogspot.com più di qualsiasi altro arbitrario.

Scontando il phishing (ad esempio mostrando una casella nome utente e password e chiedendo all'utente di accedere al proprio account Google), il tipo di attacchi che potresti avviare sono:

Reindirizzare un utente a un altro sito con un difetto XSS riflesso
Codice di exploit del browser di hosting come Esecuzione di codice arbitrario Elaborazione colspan di Microsoft Internet Explorer .
Reindirizzare l'utente a un sito di malware oa un download di malware.
Esecuzione di un attacco CSRF.

Ancora una volta, poiché l'utente deve prima accedere al tuo sito, deve avere un minimo di fiducia in esso, quindi sono d'accordo con Google sul fatto che qualsiasi codice dannoso può solo compromettere il dominio sandbox, che non ha alcun concetto di sessioni utente o dati sensibili stessi.