Tag: XSS

Jeśli ktoś jakimś przypadkiem nie kojarzy jeszcze podatności XSS, powinien nadrobić zaległości. W obecnych czasach ten problem potrafi przerodzić się m.in. w RCE (wykonanie kodu) u ofiary. Świeżym przypadkiem ilustrującym problem jest Cisco Jabber – czyli wygodny, okienkowy komunikator: Wygląda jak normalna aplikacja, prawda? W zasadzie tak, tylko pod spodem…

W skrócie – można było w „zwykłym” komentarzu dodać JavaScript, który następnie odpalał się w zalogowanej sesji ofiary (tzw. persistent XSS). No dobra, komentarz najprawdopodobniej nie był taki „zwykły”, ale dodany z wykorzystaniem API: Oczywiście sam JavaScript musi być odpowiednio uzbrojony, więcej na filmiku: A jeszcze więcej odnośnie tego typu…

Ciekawe znalezisko, którym @Ma7h1as podzielił się na Twitterze. Zerknijmy sobie na pewien stary biuletyn bezpieczeństwa Microsoftu (MS15-022) w anglojęzycznej wersji strony: https://docs.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-022 Wśród naprawionych błędów znajduje się seria XSS-ów w SharePoincie. Jako możliwość zabezpieczenia przed podatnością, MS sugeruje, by uważać na konta zawierające kod HTML (rys 1). Co ciekawe, gdy wejdziemy…

Ten artykuł jest podsumowaniem moich badań związanych z problemami bezpieczeństwa w obsłudze mechanizmu kopiuj-wklej w: przeglądarkach, popularnych edytorach WYSIWYG i aplikacjach webowych. Moim głównym celem jest pokazanie, że poniższy scenariusz ataku może sprawić, że będziemy narażeni na atak: Odwiedzamy złośliwie przygotowaną stronę. Kopiujemy coś z tej strony do schowka. Przechodzimy…

Dzisiaj będzie krótko i długo ;) a cały wpis to kolejny odcinek naszej serii vulnz (codziennie na sekuraku coś ciekawego w temacie podatności). Żeby nie trzymać Was dłużej: tutaj do pobrania w PDF cały rozdział o podatności XSS (Cross-Site Scripting) z naszej sekurakowej książki.

Jeśli w tytule widzisz subtelną różnicę pomiędzy dwoma znakami mniejszości – będziesz dobrym pentesterem ;-) Dla pewności znajdźcie różnicę pomiędzy: ＜script> oraz <script> Właśnie, dla filtrów próbujących zabezpieczyć aplikację przed podatnością XSS <script> wygląda mocno podejrzanie – do usunięcia! Natomiast ＜script> wygląda całkiem OK (nie ma tu prawidłowego otwarcia tagu…

W tym tekście opisuję XSS, który znalazłem w sierpniu 2019 w usłudze AMP4Email udostępnianej przez Google od jakiegoś czasu w GMailu. Ten XSS jest ciekawym przykładem wykorzystania techniki znanej jako Dom Clobbering

Zasób udostępnia Port Swigger, reklamując listę jako idealny zasób do nauki, a także pomagający w omijaniu rozmaitych filtrów czy WAF-ów. Oczywiście wszystko w kontekście podatności XSS. Mamy tutaj wygodny filtr po przeglądarkach, w których dana metoda zadziała czy konkretny tag HTML, który chcemy wykorzystać do wstrzyknięcia JavaScriptu. W każdym razie jest…

Właśnie opublikowaliśmy obejście ochrony przed XSS dostarczanej przez DOMPurify (podatność właśnie została załatana). Całość to kolejna publikacja na naszym anglojęzycznym research blogu – poprzednie unikalne wpisy dotyczyły paru bugów w Chrome dotyczących elementu <portal>, oraz tematyki SSTI (Server-Side Template Injection) w systemie szablonów Pebble. Kolejne publikacje niebawem, śledźcie bezpośrednio research.securitum.com i/lub konto…

Co robi dobry badacz bezpieczeństwa po zakupie nowego samochodu, dajmy na to Tesli model 3? Oczywiście zaczyna niezwłocznie szukać podatności. Tak też stało się i w tym przypadku. Szło jednak kiepsko – żadnych format stringów poprzez podłączanie telefonu o nazwie %x%x%x%x, a nazwanie samochodu w dość specyficzny sposób też niewiele…

Mobilny klient poczty od Microsoft posiadał lukę (CVE-2019-1105, bardzo skromny opis na stronie firmy) umożliwiającą zdalne wykonanie kodu na Androidzie. Sprawa zaczęła się, kiedy Bryan Appleby z F5 Networks otrzymał od znajomego bezpieczny kod JavaScript w wiadomości. Ekspert zauważył, że e-mail został dziwnie sformatowany. Wyglądał następująco:   Natomiast po otwarciu…

Strona google.com czy google.pl raczej powinny być przepatrzone pod względem bezpieczeństwa już 1000 razy, prawda? Pewnie prawda, ale nie znaczy to, że nie ma tam żadnych podatności. Znany japoński badacz bezpieczeństwa – Masato Kinugawa – pokazał XSS-a w na głównej wyszukiwarce Google. Whoops: Akcja na filmie poniżej: Co było przyczyną błędu?…

WooCommerce z 22% światowego rynku e-commerce (pod względem liczby „dostarczanych” sklepów) – brzmi nieźle: WooCommerce is a free eCommerce plugin that allows you to sell anything, beautifully. Built to integrate seamlessly with WordPress, WooCommerce is the world’s favorite eCommerce solution that gives both store owners and developers complete control. W…

Tutaj film przygotowany na ostatnie sekurak hacking party przez Michała Bentkowskiego. Całość trwa niecałe 7 minut + czas potrzebny na myślenie (spacją możecie odpalać kolejne sekwencje). Zobaczycie realny przykład appki chatu (od Google) napisanej z wykorzystaniem Electrona. Klikacie na coś z chatu, a tu bum – wykonuje się kod na…

To niby zwykły XSS w kliencie chata Steam (samo rozwiązanie można zobaczyć tutaj). Czyli można wykonać JavaScript w przeglądarce ofiary. Ale czy na pewno tylko JavaScript? Wskazany wyżej błąd (krytyczność 9.3/10 w skali CVSS) umożliwiał uruchomienie absolutnie dowolnej binarki z komputera ofiary, a to wszystko po przesłaniu takiego niewinnego linka za…