Contenido principal

POC de un XSS en docs.google.com: Prevenir futuras vulnerabilidades

Noviembre 14, 2009

Esta vulnerabilidad fue presentada en esta misma página en agosto del año pasado y ahora recobra vida!, se trata de un XSS (Cross site scripting) en la aplicación de Google docs. Gracias de nuevo a Fernando Muñoz (http://www.beford.org) por darme la oportunidad de hacer unas cuantas pruebas sobre la vulnerabilidad.

La vulnerabilidad hasta noviembre 9 del presente año se encontraba en el script "viewer" con la variable "url", en la raíz de la web docs.google.com (http://docs.google.com/viewer?url=http://). La vulnerabilidad gira entorno a los enlaces configurados en una palabra, al ingresar como enlace en un texto la cadena "javascript:alert(1);", esta pasaba al código HTML en docs.google.com como <a href="javascript:alert(1);">, como algunos sabrán, al dar clic sobre este enlace, se ejecuta el código javascript programado en el texto.

Un atacante podía inyectar código de una forma arbitraria, este código sería evaluado por el navegador como parte de la web docs.google.com, se muestra en el video adjunto como el atacante podría aprovecharse de esta vulnerabilidad para obtener desde la lista de contactos de una víctima hasta su nombre de usuario y contraseña.

El video trata principalmente de hacerle un llamado a todas las personas, y mostrarles como algo tan inofensivo como una presentación o un documento pdf puede llegar a convertirse en un potencial vector de ataque.

Algunos tips de seguridad
:arrow: Desconfiar de absolutamente TODO con las tecnologías crecientes, como pueden ver en el video, una simple presentación o un archivo PDF pueden ser muy engañosos.
:arrow: Verificar la identidad de la persona que te manda un correo, no sólo basta con fijarse en la dirección de correo electrónico (Ya que ésta se puede modificar fácilmente), algo simple para verificar la identidad es reconocer el modo de escritura de la persona, y algo más avanzado es observar el correo en crudo (raw).
:arrow: Nunca dar clic a enlaces enviados por correos electrónicos, a no ser que provenga de una persona conocida y a la cual le tenemos confianza. Una forma rápida de verificar el enlace es observar en la barra de estado del navegador hacia adónde apunta tal enlace, si tuvieramos el texto http://www.sinfocol.org y en la barra de estado se ve que apunta hacia http://www.beford.org, entonces dudariamos de ese enlace. (Pueden ver esto pasando el cursor por encima del link)

Los archivos usados en el video los puedes encontrar en este enlace: http://www.sinfocol.org/archivos/2009/11/docs.google.com_xss.zip, también los pueden encontrar en sus formas individuales en la carpeta http://www.sinfocol.org/archivos/2009/11/

Ahora las cuatro pruebas de concepto (POC Proof of Concept) de esta vulnerabilidad

Pido disculpas a los lectores por un error cometido en el video, al final copie redirijió, y buscando encontré que se escribe redirigió, había ya cometido este error en varias publicaciones, también por la no disponibilidad del video de agosto del 2008 (Me borraron el video sin aviso alguno).

Archivado en: Hacking, Seguridad |

1 comentario

  1. Saurom Diciembre 10, 2009 @ 8:49 pm

    Al final te van a tener que contratar los de google para que les encuentres bugs xD

    Como siempre gracias por tus grandes aportes del blog

Deja un comentario