XSS Persistente Blogger

---

EDIT: Voy a explicar un poco mas este post, la forma de hacerlo es tonto, pero quizas a alguien le sirva:

Blogger tiene "Permisos" o "Grupos de usuarios" uno es el administrador y el otro es el autor


En este caso, pr0ph3t es autor y yo administrador...

Ahora que pasa si pr0ph3t que es un autor, postea un script en un post?


LINK: http://www.underc0de.com/2013/01/xss-mediamarktes.html

Como se puede ver, el posteo un script ""><img src=x onerror=prompt(/Pr0ph3t/);>"

Ahora si yo que soy el admin, voy a la parte de templates o plantillas:


Se ejecuta su script..

A que quiero llegar con esto? a que un autor puede ejecutarle script a un administrador...

Espero que les guste!
Saludos!
ANTRAX

buenisimo Antrax

Genial, estaría bien que cuando lo fixeen publiques el vector
Zalu2

Muy bueno espero algundia ser como tu ANTRAX...

Saludos,...

Zerosecurity lo publico!

http://zerosecurity.org/security/persistent-xss-found-on-blogspot/

Lo reporte con creditos a underc0de!

Felicitaciones!

FELICIDADES!
Buena esa!

Publicar el vector¿?¿?.

Si vas a plantilla, edición html y metes una simple alerta que muestre el document.cookie [ <script>alert(document.cookie)</script>
Guardas, y le das a cerrar, y te muestra la xss.

Nada del otro mundo.. xD

Es verdad! no habia probado eso, pero tambien funciona!

Es verdad! no habia probado eso, pero tambien funciona!

Si hay más alternativas, igual no estoy seguro de si esto llega a ser XSS, dado que permiten el html en los blogs, tu siendo administrador del blog puedes hacer lo que quieras.

La cosa, es que vale te rula la cookie almacenada de blogger, pero solo si estas en la edición de plantilla de el blog, y para llegar hay debes ser administrador del blog.

Así que no llega  a ser nada, pero bueno no deberia hacerlo, dado que solo deberia reflejar en el navegador el contenido de blogger, y no el contenido html de la plantilla también.

Matabarras, hacelo y pasame el link asi cuando entre veo tu mensaje de alerta a ver...

No vere nada porque esos cambios que haces son solo de local, la idea del xss es que puedas pasarme un link o mandarme un mensaje y al leerlo o entrar al link se ejecute tal accion.




Edit: Antrax, por lo que acabas de comentar, me haces confundir si lo que dije anteriormente es cierto o no.. y tambien me hace dudar de si realmente encontraste un xss o solo modificaste de local, como puedo hacer yo si quiero y subir una imagen jeje xD

En realidad se le puede sacar provecho.
Como dije antes, un redactor, que no tiene permisos de admin, puede aprovechar esta misma falla, para hacer caer al admin.
Yo no lo hice de la misma forma que matabarras, ya que de su forma solo puede hacerlo el admin. De la forma que yo lo hago, puede hacerlo un redactor y hacer caer al admin.

Matabarras, hacelo y pasame el link asi cuando entre veo tu mensaje de alerta a ver...

No vere nada porque esos cambios que haces son solo de local, la idea del xss es que puedas pasarme un link o mandarme un mensaje y al leerlo o entrar al link se ejecute tal accion.




Edit: Antrax, por lo que acabas de comentar, me haces confundir si lo que dije anteriormente es cierto o no.. y tambien me hace dudar de si realmente encontraste un xss o solo modificaste de local, como puedo hacer yo si quiero y subir una imagen jeje xD

Esque en el BLOG, no te va a mostrar la cookie del Blogger, solo te va a mostrar la cookie del blog que visitas, y si no se genera ninguna por default, te muestra la alerta vacia.

En la unica parte donde te muestra la cookie de blogger, es en la sección plantillas de blogger.

Pero siendo así eso es algo estatico, y no se refleja a todos los usuarios, por lo tanto pasa a ser un Reflected, vamos una xss pasiva. si se le puede llamar así..

Claro, de la forma que tu lo haces, si.. Ya que no creo que un admin quiera atacarse a si mismo.
Yo encontre otra forma, u otro lugar por asi decirlo, de dejar el codigo y que solo pueda verlo el admin cuando entra a la plantilla

Ah ahi va, ahora si porque sino no es XSS

Una pregunta, existen programas estilo sqlmap para analizar webs con vulnerabilidades xss no? digo porque si es que existen, que raro que nadie habia encontrado este xss en blogger, va.. tal vez si pero no decian xD


edit: Gracias Matabarras, ahora entendi, creo que te habia entendido mal en tu comentario anterior, me confundi con lo de plantilla ya que yo no he usado nunca blogger y por eso pense otra cosa como plantilla xD


Saludos!

Si si existen programas, creo que hay uno que se llama Xelenium y si no me equivoco viene un addon para firefox

Ah ahi va, ahora si porque sino no es XSS

Una pregunta, existen programas estilo sqlmap para analizar webs con vulnerabilidades xss no? digo porque si es que existen, que raro que nadie habia encontrado este xss en blogger, va.. tal vez si pero no decian xD


edit: Gracias Matabarras, ahora entendi, creo que te habia entendido mal en tu comentario anterior, me confundi con lo de plantilla ya que yo no he usado nunca blogger y por eso pense otra cosa como plantilla xD


Saludos!

No da usar un programa de esos contra google, en realidad contra ningun lado deja muchos logs. Bua, depende cual sea el programa.
Dejen de darle tantas vueltas a este thread XD es un xss nada mas no es por minimizarlo, pero de esos google tiene muchos xD

Un saludos! -> Turka.

https://twitter.com/MarioVilas/status/293726563973857280
http://seclists.org/fulldisclosure/2013/Jan/177

No me esperaba esto de ti ANTRAX xd

me respondieron de google.. el xss no deberia generarse.. de todas formas no es tan critico como crei, la cookie que saca es de blogspot y no de blogger.. aun asi me agradecieron el reporte..

Muy buen descubrimiento ANTRAX, espero mas encuentros asi grandes de tu parte.