martes, 15 de enero de 2013

Vulnerabilidad XSS en el Nuevo Myspace

Buenas Tardes!
Hace poco me he enterado que habian activado el nuevo diseño de MySpace, asique para descansar un poco de estudiar he entrado a verlo.. y me he encontrado un bonito XSS persistente.

El XSS proviene de que no se filtra correctamente la direccion de la pagina web que puedes añadir a tu perfil de mySpace. Solo se filtran las etiquetas HTML.. De modo que si jugamos con las comillas y los eventos Javascript.. tenemos el siguiente vector:
""onmouseover="alert('XSS')"

No se muy bien por que pero se deben poner dos comillas al principio, ya que una se pierde (probablemente en algún filtro).
Os dejo una imagen:

Como veis el código se ejecuta en la pagina de nuestro perfil al pasar el ratón por encima del enlace a nuestra web. Al principio puede parecer poco "útil" pero si ademas de un evento javascript le añadimos un poco de CSS (usando la propiedad style="position:fixed;top:0px;....") podemos tener un enlace que ocupe toda la web, invisible, y tenemos muy fácil que se pase por encima el ratón y se ejecute el javascript. Y así tenemos un XSS permanente que puede ir muy bien para por ejemplo hacer un bonito Worm.. ya que el XSS se ejecuta al ver nuestro perfil.

ACTUALIZACIÓN: También es vulnerable a este vector de XSS en los titulos de los "Mixes". Al usar el título del "Mix" para crear un boton.
Imagen:


ATENCIÓN: No me hago responsable del uso que se le de a la información publicada en este blog. Esta información tiene como objetivo APRENDER y NO PERJUDICAR de NINGÚN modo a nadie.

Esta vulnerabilidad no ha sido arreglada por mySpace. Y tampoco he encontrado por ningún sitio una forma de ponerme en contacto con mySpace para reportar la vulnerabilidad. Si quieren que reporten vulberabilidades que pongan a la vista un lugar al que reportar.

Actualización: Myspace ha arreglado las vulnerabilidades XSS.

Actualización:
@vlycser ha encontrado otra vulnerabilidad XSS en el buscador de Myspace.
(Comentarios)

Gracias por leer! :)

2 comentarios:

  1. He encontrado otra vulnerabilidad XSS en New Myspace pero no es persistente: https://twitter.com/vlycser/status/291555671785209856

    ResponderEliminar
    Respuestas
    1. Gracias por tu comentario :)
      He añadido la información a la entrada.

      Eliminar