Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Google XSS - avagy az elhanyagolt Content-type esete

2008.04.16. 09:10 | buherator | Szólj hozzá!

Billy Rios újabb trükköt fedezett fel a Google egyik webes alkalmazásában, ezúttal a Spreadsheets volt az "áldozat". Mivel a Google által beállított munkamenet azonosítók az egész google.com domainre érvényesek, a hiba kihasználsával az összes G-betűs szolgáltatás - pl. a Gmail, Google Docs és Code stb. - hozzáférhetővé válik.
A probléma gyökere a böngészők Content-type fejlécekkel kapcsolatos viselkedésében keresendő: Az összes jelentősebb ilyen alkalmazás ugyanis bizonyos esetekben figyelmen kívül hagyja a HTTP válaszban érkezett fejlécet, és a saját feje után menve igyekszik eldönteni, hogy milyen típusú adathalmaz érkezik a túloldalról. Ennek a lehetőségnek a kihasználásához elég létrehoznunk egy új táblázatot, melynek első mezőjébe tetszőleges HTML kódot írhatunk, majd az elkészült dokumentumot megoszthatjuk CSV-ként. Ezek után, ha valaki szeretné megnyitni a fájlt (melynek típusa text/plain, tehát egyszerű szöveg kellene hogy legyen), a böngésző - ebben az esetben az Internet Explorer  - továbblépve a Content-type-on beleütközik az általunk létrehozott HTML kódba, aminek nagyon megörül, és elkezdi az érkező adatokat HTML-ként renderelni. Mivel a kódunk a google.com tartományban fut, hozzáférhetünk a kedves felhasználó összes ide tartozó azonosítójához, belenézhetünk a Gmailes postaládájába, hátsó kapukat helyezhetünk el a kódjaiban, vagy átböngészhetjük a naptárának bejegyzéseit, de a lehetőségek szinte korlátlanok (ezért kell vigyázni ilyen szolgáltatók estén a szokásosnál is jobban az XSS-ekkel).

Egyszerű, de hatékony módszer, kár hogy már javították ;)  Nem árt azért elolvasni Blake Frantz "Flirting with MIMe types" című írását, hogy mi magunk ne essünk bele abba a hibába, amibe a Google szorgos programozói igen.

Címkék: google programozás xss

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.