Seriously(?) [Effiliation.com + emailtemporal.org] CSRF,XSS,BYPASS..

Bueno, estaba algo disgustado con pccomponentes y me fije en las afiliaciones.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
La cual utilizaremos para logear a effiliation y para registrarnos.


Bueno, sabia que esto estaba vinculado a una web francesa de afiliaciones, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Entonces dije bien no pasa nada de nombre y descripción pondre un simple vector en xss, "><img src=x onerror=prompt(2)>

Pondre un correo temporal usare No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y listo , por si hace falta confirmar algo.

Me encuentro que email temporal si recibe un correo con un vector xss , pum te lo ejecuta y ya..
En este caso no solo es por el vector si no porque el contenido se envia como html y nada ejecuta el html del correo, pero esto no es lo grave aunque en parte si

(Podemos detectar si se usa emailtemporal por su extension, y siempre que se use añadir un pequeño poc de redirección para obtener datos y infinitas cosas a el usuario que utilize ese correo asi que ya no es tonteria.)

Lo más grave de emailtemporal vendra luego..

Bueno algo que me encuentro de "camino" como aquel que dice, volvamos a effilation pero claro una vez me logeo con el nombre de usuario, NO mi nombre que es un vector xss, pues effiliation me refleja el xss cada vez que recargo la web, comente algo, haga lo que haga, a todos les reflejare mi XSS.



Si puse elladodelmal como sitio web a modo troll.

Tambien nos damos cuenta que en la  dirección de reenvío por omisión, si colocamos un vector xss tambien los ejecutara, oh my god esta web no filtrada nada(?).


Sisi, ni siquiera cuando colocas la contraseña nueva te la pone en asteriscos, ni siquiera eso..

Tambien obtenemos un CSRF en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Para toda la gente que tenga cuenta en ella y este iniciada como ya sabeis con un CSRF podemos cambiar la clave, debido a que cuando realizas la petición no lleva ningun token, ni siquiera te pide que pongas la contraseña actual.

Tengo ganas de dormir y no e echo el poc, pero vamos que se hace en menos de 5 minutos, y si alguien lo quiere puedo hacerlo.

Que guay es una web donde se gana dinero por afiliaciones, pero nada aqui cualquiera puede usurpar la cuenta de cualquiera..

Claro podemos usurpar la cuenta, o directamente meterle un XSS en el dirección de reenvió por omisión y hacer uso de BEEF, no se que seria peor no?.


Está bastante claro que no ofrece protección alguna a los clientes , aparte de tener repleto de XSS Y CSRF, pudiendo cambiar tambien la cuenta bancaria y demas donde recibir el dinero..


Y voy a parar... porque me estoy empezando a cabrear  bastante, y no quiero hacer nada malo

Pero espera, emailtemporal  si tiene un xss seguro hay algo más, que petición hace cada vez que abro un mensaje?



Si efectivamente dicen borrar todos los mensajes, y demas , si quizas los borren pero tardaran bastante pues tengo más de 1954227 mensajes que puedo mirar ahora mismo, y siguiendo.. debido a una falta de verificación y si nos deja utilizar la acción de ver mensajes, tambien nos deja utilizar otras acciones y hay lo dejo.

Hasta aqui hemos llegado y espero que les haya gustado esta pequeña anecdota que de seguir seguro nunca acabaria.

PD: Al reportar ahora a emailtemporal, en el contacto si nos fijamos podemos bombardearle el contacto con el mismo mensaje todo el rato, pues se envia y no te muestra ningun captcha en ningun momento y puedes enviarlo las veces que quieras.

Excelente post. Espero más como este.

Un saludo HATI 

Muy buen post, un gran descubrimiento!

Un saludo.