Security By Default: blogger

13 abril 2012

Blogger sin SSL

Autor: Contribuciones 13 abril 2012 [ 7:38 ]

Soy usuario de Gmail y además, de Blogger (como tantos), pues bien, un día como otro cualquiera, accedo a gmail y me autentico, hasta ahí todo perfecto. Posteriormente entro en mis blogs (funsecurity.net, tecnomind.org) y claro, soy usuario de google y blogger es de google, pero las cookies son para el dominio google.com, por lo tanto, procedo a entrar mediante en enlace que se encuentra en la esquina superior derecha "Acceder". Automáticamente, se transfieren las sesiones de google.com a blogger.com y ya eres usuario autenticado en blogger. Muy bien, ¿verdad?, pero claro, tenemos un problema, si estamos en una red corporativa/pública, corremos el riesgo que nuestras conexiones sean esnifadas y se hagan con nuestras galletas(cookie/session hijacking), ya que las conexiones de blogger.com no van cifradas.

¿Recuerdan firesheep?, desarrollar un plugin para robar en redes públicas sesiones de bloggeros resulta trivial. En este caso no hay extensión para navegadores ni modo de forzar conexiones SSL, ya que google no lo tiene implementado, o lo hacen o estamos vendidos! Google debería de estar más concienciado con la seguridad de sus usuarios bloggeros. De que nos vale cifrar nuestras búsquedas si luego nuestros blogs están expuestos?!?!

Proceso de transferencia de sesiones entre google.com y blogger.com:

Al pinchar sobre "Acceder", seremos redireccionados a accounts.google.com con los parametros necesarios para indicarle a google que queremos iniciar sesión en blogger.

Cuando accounts.google.com verifica nuestra sesión mediante las cookies, nos responde para redireccionarnos a blogger.com con el parámetro "auth" que indica a blogger.com nuestra autenticidad mediante javascript o meta refresh.

Petición a blogger.com pasando como parámetro "auth" SIN CIFRAR.

Respuesta de blogger.com con la tan ansiada cookie de blogger.com que nos autentica para realizar operaciones sobre nuestros blogs y que por supuesto viaja SIN CIFRAR.

Google ha sido notificado a la espera de alguna contestación, no obstante y mientras tanto, recomiendo acceder a blogger sólo por redes privadas que nosotros controlemos. El hecho de usar vpn, tor, etc tampoco ayuda, ya que el nodo final podría esnifar nuestras conexiones, a no ser que la red vpn sea controlada por nosotros. Igualmente nuestras conexiones en algún nodo estarán en texto plano, así que cuidadito.

He expuesto la forma en la que yo he descubierto el fallo y además nos ha servido para conocer como google transfiere sesiones. Si accedes a blogger directamente y te logas, igualmente tus conexiones siguen estando sin cifrar a posteriori del logado.

saludos,

Artículo cortesía de Adrián Ruiz Bermudo

28 diciembre 2010

0day XSS persistente en Blogger.com y Meneame.net

Autor: Contribuciones 28 diciembre 2010 [ 7:31 ]

ACTUALIZACIÓN

Efectivamente, se trataba de una broma. Las evidencias se han realizado mediante la extensión de Firefox Web Developer, su funcionalidad de "Editar HTML", que permite editar el código fuente de la página con el fin de mostrar como quedaría en caso de modificarla realmente en los ficheros de la web. En ningún momento se edita el contenido, sólo lo que se muestra en el navegador local.

Tampoco es necesario crearse una copia local de la página ni nada por el estilo.

Sobre los alerts Javascript mostrados, puedes hacerlo si, en cualquier página, escribes el siguiente código en la barra de direcciones de Google Chrome o Mozilla Firefox:

javascript:alert("TEST SBD")

--------------------------------------------------------------------------------

En caso de que este post se llegase a publicar, quiero dar las gracias a SecurityByDefault.com por dejarme un "hueco" <:-D

Os explico, hace unas semanas se hacía público, por parte de Google, un programa para ofrecer recompensas a cambio de vulnerabilidades web en alguno de sus dominios importantes. Por ello, me puse al lío y de purísima casualidad, me topé con lo que comienzo a relatar a continuación.

En primer lugar, y aunque ya lo sabréis, paso a definir que es un XSS de tipo persistente o permanente. Todos sabemos que un Cross-Site Scripting es una de las vulnerabilidades web más famosas y extendidas, si bien en múltiples ocasiones resulta muy dificil aprovechar su explotación, puede dejar en evidencia a según qué tipos de webs (sobretodo si son de presidencias europeas y esas cosas jaja). Aún así, muchos consideran que no son muy importantes, ya que es necesario que un usuario haga click en un enlace que le pase otro usuario maloso que quiera, por ejemplo, robarle su sesión o redirigirle a un phishing. Pero...¿y si conseguimos que el código que incrustamos se muestre siempre, y para todos? Nos haríamos con un buen conjunto de sesiones, y encima, ¡sin tener que hacer picar a nadie!

Pues de eso os escribo, al hilo del programa de Google, me encontré un XSS de este tipo permanente en el sistema de comentarios de Blogger! No quería ir a por vosotros :-P, así que aproveché e hice las pruebas sobre un blog conocido por muchos (es más, gracias a dicho blog conozco a SbD :-) ). Se trata del blog del maligno, Chema Alonso (www.elladodelmal.com), que está hospedado en blogger (y eso que es de Microsoft o algo así!).

Os paso una captura y un script para reproducirlo en cualquier blog que esté en blogspot.com!

AVISO DE SecurityByDefault: la captura enviada por el usuario era de mala calidad, por lo que reproducimos lo realizado por el contribuidor en un post de que publicó nuestro compañero Chema el día 27 de Diciembre (ayer). El código utilizado por dicho usuario se ha omitido, y se ha escrito directamente al equipo de seguridad de Google.


Ejemplo de alert en Javascript incrustado en uno de los comentarios, mostrando una cadena de texto.

Captura del comentario que incluye el código Javascript, saltándose la protección HTML de Blogger mediante una secuencia de carácteres determinada.

¡Todavía no me lo creo la verdad! Perdonad la calidad, pero bueno, yo os mando el código para que veais que es verdad, probadlo en cualquier blogger.

Bueno, espero que os haya gustado y sería un enorme placer aparecer en vuestro blog con este humilde post. Antes de nada, y ya que estoy con el tema, os mando otro de estos Cross-Site permanentes en el botón de meneos de Meneame. Sólo he conseguido reproducirlo si voto anónimamente cualquiera de las noticias en portada, fijaros en la noticia con los 499 meneos!: