viernes, 6 de enero de 2012

HotWords hace tu foro vulnerable

¡Saludos!

Estos últimos días encontré casi por error un XSS en Foro PortalHacker. Al moderar la sección de "Seguridad Web" me encontré con que en algunos posts los tags HTML eran incluidos tal cual, sin filtrado alguno, por lo que éstos eran interpretados por el navegador. Este hecho me extrañó bastante en tanto que el foro es SMF, y en las versiones anteriores no me había encontrado con esta vulnerabilidad.


Empecé a investigar un poco más y me topé con que este hecho no se daba en todos los posts, sino que únicamente aparecía en aquellos donde había publicidad (apenas unos días antes se había incluido para poder cubrir gastos, sin aviso alguno al staff), y únicamente cuando el tag HTML estaba cerca de una palabra reseñada con publicidad.


Asi que empecé a hacer pruebas como loco, y a la conclusión que llegué es que SMF realiza el filtrado de la forma correcta, convirtiendo < en &lt; pero posteriormente cuando HotWords incluye la publicidad, transforma &lt; en < y por tanto quedan como tags HTML.

Habiendo encontrado cómo actuaba, sólo me quedaba encontrar una forma de explotarlo 100% efectiva. Para tal fin, lo que había que hacer era crear un post en el cual incluimos alguna de las palabras que solía reseñar con publicidad, como "web", "video" o "bueno", y posteriormente editar el post para colocar junto a la palabra reseñada el exploit (<img src="." onerror="alert(8);">).


Otro método alternativo para que HotWords bypasseara el filtro anti-XSS de SMF fue encontrado por @0x5d, y consistía en crear un post con: <img src="." onerror="alert(8)" alt="bueno">.

Actualmente se ha eliminado hotWords del foro, por lo que no es vulnerable ya.
5 0verl0ad Labs: HotWords hace tu foro vulnerable ¡Saludos! Estos últimos días encontré casi por error un XSS en Foro PortalHacker . Al moderar la sección de "Seguridad Web" me...

3 comentarios:

0x5d dijo...

Wow ! a la hora que no me meto, no veo que me mencionas (@0x5d).

Podríamos buscarle alguna solución a esto, pero creo que es problema del JS :\ habría que desmenuzarlo :c

Saludos Colega !.

The X-C3LL dijo...

Yo ahora estoy atado con los exámenes, pero a mediados de febrero empezaré a trabajar con el codigo para securizarlo, o por lo menos encontrar alguna solución workaround.

isseu dijo...

¿??
Porque cresta HotWords hace tal estupidez??
Bien hecho :)

< >