comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

XSRF + Cross Site Framing en Google

  • 6 Respuestas
  • 2081 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Dedalo

  • *
  • Underc0der
  • Mensajes: 117
  • Actividad:
    0%
  • Reputación 0
  • KUSH
    • Ver Perfil
    • Twitter Personal
  • Twitter: https://twitter.com/SeguridadBlanca
« en: Agosto 19, 2013, 08:38:11 pm »
He estado en estos días con un poco de tiempo libre así que me puse a buscar vulnerabilidades en google solo por diversión ya que es un target dificil, curiosamente encontré una vulnerabilidad, un link que si le mandas, lo deslogueas de su cuenta, se que muchos dirán click derecho al boton de desloguear copiar enlace y mandar eso, pero no, yo encontré una vulnerabilidad, una url de deslogueo es iframeable por lo que es vulnerable a ClickJacking y todos los ataques basados en FRAME por eso lo generalizo con Cross Site Framing... Sin mas que decir... un videito de la vuln.



Espero les guste, no hubo ni recompensa ni HoF pero me divertí mucho y eso cuenta...

Exploit:

   <iframe src="You are not allowed to view links. Register or Login" ></iframe>
   
Además una redirección:

You are not allowed to view links. Register or Login

Fuente: You are not allowed to view links. Register or Login

Saludos,
Dedalo.
« Última modificación: Agosto 19, 2013, 08:39:44 pm por ANTRAX »
You are not allowed to view links. Register or Login

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5339
  • Actividad:
    16.67%
  • Reputación 30
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #1 en: Agosto 19, 2013, 08:40:16 pm »
Muy buen post Dedalo!!
Te daran recompensa?


Desconectado Dedalo

  • *
  • Underc0der
  • Mensajes: 117
  • Actividad:
    0%
  • Reputación 0
  • KUSH
    • Ver Perfil
    • Twitter Personal
  • Twitter: https://twitter.com/SeguridadBlanca
« Respuesta #2 en: Agosto 19, 2013, 08:42:33 pm »
No, para ellos no califica, a mi me parece que debieron aun que sea haberme dado mención honorable pero si para ellos no es, ya yo no puedo hacer nada igual el equipo de google contestó de manera rápida y me divertí.
You are not allowed to view links. Register or Login

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5339
  • Actividad:
    16.67%
  • Reputación 30
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #3 en: Agosto 19, 2013, 08:44:18 pm »
A mi me pasó lo mismo con el XSS de Blogger... Decian que no calificaba como un bug critico y que por eso no me darian nada jajaja
Pero en donde hay un bug, hay dos o no? jajaja


Desconectado Fabián Cuchietti

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #4 en: Agosto 21, 2013, 04:48:34 pm »
El dominio esta protegido por sandbox, y es obvio que no daran una recompensa o mencionarlo en el "Hall of Fame" :).



Saludos.

Desconectado Dedalo

  • *
  • Underc0der
  • Mensajes: 117
  • Actividad:
    0%
  • Reputación 0
  • KUSH
    • Ver Perfil
    • Twitter Personal
  • Twitter: https://twitter.com/SeguridadBlanca
« Respuesta #5 en: Agosto 23, 2013, 04:43:56 pm »
No hubo recompensa porque es XSRF de log-out no es dominio de sanbox... googleusercontent es el de sandbox


Saludos,
Dedalo.
You are not allowed to view links. Register or Login

Desconectado Fabián Cuchietti

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #6 en: Agosto 24, 2013, 11:16:05 am »
No solo es "googleusercontent.com" también hay muchos sandbox (googlegroup.com, googlecode.com, etc.)

 

¿Te gustó el post? COMPARTILO!



Agujero en servidores de BBDD [Hacking Google + SQLi] - www.kanglin.com.tw

Iniciado por baah

Respuestas: 5
Vistas: 1908
Último mensaje Junio 02, 2017, 06:39:33 am
por baah
Google Hacking database de red de citas

Iniciado por Rootkit_Pentester

Respuestas: 1
Vistas: 1448
Último mensaje Junio 05, 2017, 07:47:59 am
por RuidosoBSD
[Google Hacking] Leak de Britishsexcontacts!!!

Iniciado por Rootkit_Pentester

Respuestas: 10
Vistas: 2377
Último mensaje Junio 09, 2018, 09:19:25 pm
por Drok3r
Múltiples XSS en Google (sandboxed)

Iniciado por Fabián Cuchietti

Respuestas: 0
Vistas: 970
Último mensaje Agosto 21, 2013, 03:27:39 pm
por Fabián Cuchietti
XSS Found in Google Play

Iniciado por CalebBucker

Respuestas: 13
Vistas: 4966
Último mensaje Octubre 06, 2012, 11:13:51 pm
por c1st