Contenido principal

Hacking: XSS en mail.live.com

Noviembre 1, 2008

Actualizado: Vulnerabilidad corregida el mismo día de la publicación.

Se trata de un nuevo XSS encontrado por beford, donde se puede ejecutar código arbitrario en el lado del cliente por medio de una inyección HTML.

El script vulnerable en este caso es browsersupport.aspx, y la variable directamente afectada es TargetUrl. Este script se encuentra en cada uno de los subdominios de mail.live.com (http://*.*.mail.live.com) y es el encargado de decirnos si nuestro navegador es soportado o no por el sistema (Esto lo hace mediante el reconocimiento de la cabecera User-Agent que es enviada por nuestro navegador cada vez que enviamos una petición de recurso. Ver Mas)

El video que prueba la existencia de la vulnerabilidad se presenta a continuación:

Como se muestra en el video, solo es posible inyectar código HTML sin poder obtener el contenido de las cookies, porque al iniciar sesión, el servidor envia a través de la cabecera Set-Cookie, una cadena, indicandole al navegador no acceder a la cookie por medio de javascript. Esta cadena es "httpOnly" y es soportada por la mayoría de navegadores.

Practicamente se puede hacer Cualquier cosa usando JS, desde obtener la lista de contactos de cualquier usuario de live.com, hasta enviar correos y eliminarlos.

El script que se ejecuta en el video es el siguiente:

new Ajax.Request('/mail/GetContacts.aspx?'+Math.floor(Math.random()*12101), {
 method: 'get',
 onSuccess: function(transport) {
  var page = transport.responseText;
  s = page.split("\r\n");
  var n= "\r\n";

  for (i=1;i<s.length-1;i++) {
   m = s[i].split(",");
   if (m[m.length - 2]!= "") n = (m[m.length - 2])+ ", " +n;
  }
  alert("Contacts: " + n);
 }
});

Y es el encargado de hacer una petición http usando Ajax por medio del método GET al archivo "/mail/GetContacts.aspx", el cuál responde con la lista de los contactos.

Me parece una falta de responsabilidad por parte de los programadores de Microsoft, por que la vulnerabilidad se envió el tres de octubre de este mismo año y a la fecha (31-oct-2008) no ha sido corregida.

Archivado en: Hacking, Seguridad |

1 comentario

  1. Warner Junio 5, 2010 @ 1:02 am

    p muy bueno pero ya no funciona

Deja un comentario