comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

URL Spoofing - Yandex Browser [Windows y Android]

  • 1 Respuestas
  • 1191 Vistas

0 Usuarios y 3 Visitantes están viendo este tema.

Desconectado Jimeno

  • *
  • Underc0der
  • Mensajes: 367
  • Actividad:
    0%
  • Reputación -1
  • NULL
    • Ver Perfil
    • Twitter
  • Skype: migueljimeno96
  • Twitter: "><<img src=y onerror=prompt();>
« en: Julio 27, 2016, 09:25:07 am »
Buenas a todos.

Supongo que esteréis familiarizados ya con esta vulnerabilidad. En caso de que no lo estéis, se trata de conseguir que el navegador muestre una URL legítima (por ejemplo el login de Gmail) pero que realmente el usuario esté visitando el servidor del atacante o uno fraudulento.
Se puede aprovechar para muchos objetivos, a mí el principal que se me ocurre es mostrar un panel de login clonando el login de la página víctima. La víctima verá la URL legítima, pero realmente estará entregando sus credenciales al atacante.

Comenzamos por el navegador de Yandex (empresa que tiene Bug Bounty):

Citar
En el caso de Yandex ambas vulnerabilidades fueron reportadas y consideradas como duplicadas, es decir, otro investigador las ha reportado antes que yo. Si eres esa persona y deseas que elimine este post, contacta conmigo a través de Twitter y lo haré inmediatamente (@migueljimeno96).

Yandex Browser para Windows
(reporte enviado el 19 de Julio de 2016, 21:36)

Los pasos a seguir para falsificar la URL una vez el usuario visita la página fraudulenta son los siguientes:
  • Una vez la página ha cargado, se llama a una función de JS (en mi caso se llama a dicha función al pulsar un botón).
  • La función abre una nueva ventana utilizando window.open. Dicha ventana cargará la URL que deseamos falsificar.
  • Utilizaremos entonces document.write sobre dicha ventana para colocar nuestro contenido fraudulento (panel de login por ejemplo).

De forma que el código será el siguiente:
Código: HTML5
  1. <No tienes permisos para ver links. Registrate o Entra con tu cuenta>
  2. function spoof() {
  3.         nWindow = window.open('https:/www.google.com', '_t1');
  4.         nWindow.document.write('<No tienes permisos para ver links. Registrate o Entra con tu cuenta>Here we could place a phising login panel</No tienes permisos para ver links. Registrate o Entra con tu cuenta>');
  5. }
  6. </No tienes permisos para ver links. Registrate o Entra con tu cuenta>
  7. <No tienes permisos para ver links. Registrate o Entra con tu cuenta type="button" onclick="spoof()" value="PoC!">
  8. The page is being hosted in my server
  9.  

De tal forma que al pulsar sobre el botón en el navegador ocurría lo siguiente:




Tras intercambiar unos cuantos correos con el equipo de seguridad de Yandex la respuesta final fue la siguiente:


Citar
Hello!

Unfortunately the issue had been reported by another researcher before we got your report. We've been working on the fix for several days and it will be rolled out shortly.

Have a nice day!

Vasiliy Kuznetsov Yandex Security Team


Yandex Browser para Android
(reporte enviado el 19 de Julio de 2016, 18:41)

Los pasos a seguir fueron los mismos, de forma que la víctima veía lo siguiente:



Tras unos pocos días recibí los siguientes correos del equipo de seguridad:

Citar
Hello, Miguel Angel!
As for Android, I'll check it shortly because it look similar to one report we got the other day. I'll let you know in a few days.
Have a great weekend!

Citar
Hello, Miguel Angel!
I'm sorry, but the same bug had been reported by another researcher before we'd got your report. That's why we can't offer you a reward.

Enlace al writeup original: No tienes permisos para ver links. Registrate o Entra con tu cuenta

Saludos y espero que os haya gustado!
Contacto: @migueljimeno96 -

Desconectado 79137913

  • *
  • Co Admin
  • Mensajes: 634
  • Actividad:
    0%
  • Reputación 11
  • 4 Esquinas
    • Ver Perfil
    • Doors.Party
    • Email
  • Skype: fg_mdq@hotmail.com
« Respuesta #1 en: Julio 27, 2016, 10:36:40 am »
HOLA!!!

Muy buen trabajo Jimeno, lastima que no obtuviste la recompensa, aparte es una vuln bastante heavy para su sistema.

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scout Team*                                                   No tienes permisos para ver links. Registrate o Entra con tu cuenta

 

¿Te gustó el post? COMPARTILO!



Sqli Android app por QR o Barcode Scanner

Iniciado por hdbreaker

Respuestas: 5
Vistas: 2853
Último mensaje Noviembre 18, 2013, 11:19:45 am
por Pr0ph3t