Mostrando entradas con la etiqueta whatsapp. Mostrar todas las entradas
Mostrando entradas con la etiqueta whatsapp. Mostrar todas las entradas

domingo, 13 de enero de 2013

XSS en WhatsApp

Buenos días!
Hoy os traigo un XSS no persistente en la web de Whatsapp. Se encuentra en el buscador de preguntas frecuentes (FAQ).

Os dejo la imagen:
Clic para ver mas grande

Como podéis ver nos mete la consulta dentro de un script, asique si cerramos las comillas y paréntesis necesarios conseguiremos ejecutar cualquier codigo javascript en cualquier navegador, ya que usando este vector no funcionan los filtros anti XSS de los navegadores.

El vector de ataque es el siguiente:
");alert("XSS");</script>

 Como podeis ver primero se cierran las comillas , luego los parentesis y finalmente añadimos un ";" para cerrar la instrucción. Y a partir de ahí insertamos nuestro código.

 ¿Para que generar un script si ya nos dejan dentro de uno? Que aprovechándolo tenemos un XSS valido para cualquier navegador.

 El fallo no esta arreglado asique os dejo la url para que lo veáis: http://www.whatsapp.com/faq/search/?q=%22);alert(%22Whatsapp%20XSS%20by%20@segura201093%22);%3C/script%3E

Esta vulnerabilidad junto con algún exploit, como por ejemplo el 0day que ha salido recientemente de Java se puede usar para por ejemplo crear un iframe oculto y enviar el enlace a una victima. Al ser un enlace a la web de Whatsapp la victima no sospechará.

Una prueba mas de que Whatsapp se toma en serio la seguridad. ;)

Gracias por leer.
Publicado por en No hay comentarios:
Etiquetas: , ,

miércoles, 28 de noviembre de 2012

"Rompiendo" el Whatsapp de tus amigos.

Buenas a todos!
Hoy os voy a enseñar como dejar pillado el Whatsapp a tus contactos. Esto se produce por un fallo en la programación de Whatsapp que produce que cuando enviamos cierto mensaje cargado de emoticonos la app empieza a ir muy lenta y tenemos que salir de ella. Esto es una buena forma de gastar algunas bromas a nuestros amigos, ya que puede ser realmente molesto, pues no basta con cerrar la app, sino que deberás de reinstalarla o eliminar el historial para que la app no cargue mas el mensaje.

Antes que nada decir que la app se queda pillada en telefonos Android, en iPhone (iOS) solamente se cierra la app cuando entramos a la conversación en la que se encuentra el mensaje. No he podido probarlo en otros sistemas.

Y ahora os dejo la imagen del mensaje que debeis enviar:

Ese es el mensaje que debes enviar, esos emoticonos (negro y blanco, negro y blanco) una y otra vez, cuantas mas mejor (en un mismo mensaje)!

ACTUALIZACION: Para los que no teneis esos emoticonos os los dejo en este tuit para que los copiéis y peguéis directamente: https://twitter.com/segura201093/status/273804873185763328

Creo que con otro también funciona, pero no estoy seguro.

Y esto es todo por hoy! No seais malos y no hagais muchas bromas con esto!! :P

PD: Agradecería que comentaseis si os ha funcionado en otras plataformas y demás :)
Publicado por en No hay comentarios:
Etiquetas: , , , , , , ,
Suscribirse a: Entradas (Atom)