Buenas a todos.
Supongo que esteréis familiarizados ya con esta vulnerabilidad. En caso de que no lo estéis, se trata de conseguir que el navegador muestre una URL legítima (por ejemplo el login de Gmail) pero que realmente el usuario esté visitando el servidor del atacante o uno fraudulento.
Se puede aprovechar para muchos objetivos, a mí el principal que se me ocurre es mostrar un panel de login clonando el login de la página víctima. La víctima verá la URL legítima, pero realmente estará entregando sus credenciales al atacante.
Comenzamos por el navegador de Yandex (empresa que tiene Bug Bounty):
CitarEn el caso de Yandex ambas vulnerabilidades fueron reportadas y consideradas como duplicadas, es decir, otro investigador las ha reportado antes que yo. Si eres esa persona y deseas que elimine este post, contacta conmigo a través de Twitter y lo haré inmediatamente (@migueljimeno96).
Yandex Browser para Windows
(reporte enviado el 19 de Julio de 2016, 21:36)
Los pasos a seguir para falsificar la URL una vez el usuario visita la página fraudulenta son los siguientes:
- Una vez la página ha cargado, se llama a una función de JS (en mi caso se llama a dicha función al pulsar un botón).
- La función abre una nueva ventana utilizando window.open. Dicha ventana cargará la URL que deseamos falsificar.
- Utilizaremos entonces document.write sobre dicha ventana para colocar nuestro contenido fraudulento (panel de login por ejemplo).
De forma que el código será el siguiente:
<script>
function spoof() {
nWindow = window.open('https:/www.google.com', '_t1');
nWindow.document.write('<pre>Here we could place a phising login panel</pre>');
}
</script>
<input type="button" onclick="spoof()" value="PoC!">
The page is being hosted in my server
De tal forma que al pulsar sobre el botón en el navegador ocurría lo siguiente:
(http://i.imgur.com/yoNDdyC.png)
Tras intercambiar unos cuantos correos con el equipo de seguridad de Yandex la respuesta final fue la siguiente:
CitarHello!
Unfortunately the issue had been reported by another researcher before we got your report. We've been working on the fix for several days and it will be rolled out shortly.
Have a nice day!
Vasiliy Kuznetsov Yandex Security Team
Yandex Browser para Android
(reporte enviado el 19 de Julio de 2016, 18:41)
Los pasos a seguir fueron los mismos, de forma que la víctima veía lo siguiente:
(http://i.imgur.com/yOQKHwH.jpg)
Tras unos pocos días recibí los siguientes correos del equipo de seguridad:
Citar
Hello, Miguel Angel!
As for Android, I'll check it shortly because it look similar to one report we got the other day. I'll let you know in a few days.
Have a great weekend!
Citar
Hello, Miguel Angel!
I'm sorry, but the same bug had been reported by another researcher before we'd got your report. That's why we can't offer you a reward.
Enlace al writeup original: https://gist.github.com/jimen0/82dc027455c3b2a6e6c8110a5268b04d
Saludos y espero que os haya gustado!