Saludos mis queridos lectores. otravez yo con otro reporte de seguridad.
Target: http://tienda.eset.es/main.php
Vulneabilidad: XSS Persistente
Reportado: Si, y Reparado! ( Fixed )
Hace dos dias jugueteando con el sitio de ESET Nod 32 De españa vi la tienda de y me parecio un buen lugar para practicar si tenia alguna vulnerabildad lo queria saber.. entonces empeze a jugar con las urls intentanto un XSS pero no fue exitoso.
Luego de unos minutos vi que en la tienda habia un zona de usuarios y pense “podria registrarme y modificar los parametros del usuario por un vector de xss ” me auto-respondi , de seguro Nod 32 tendra filtrado todos esos campos. pero vaya sorpresa que me lleve.
luego de registrarme y loggearme como usario. me fue a la seccion de Editar perfil
Edite el nombre del Usuario: por el Vector: <input autofocus onfocus=alert(1)>
Esperado los resultados efectivamente!
Y Bueno para aquel momento cuando ingresabas al sitio http://tienda.eset.es/main.php Alado de el espacio de busqueda aparecia el nombre de usuario, lo cual quedaba para todo el sitio. podias visitar cualquier url de la tienda con el cookie del aquel usuario y te hiba a mostrar siempre aquella mensaje “1″
Automaticamente le cambie el vector. a uno con mi nombre y asi se veia:
Okay! Bueno ademas del xss persistente dije.. si se le injecta el codigo vizualizar tu cookie o un iframe ( seria como un defacement pero solo con la login de aque usuario xD! ? u.u Que lindo seria.. ahh??
Minutos despues mande un reporte a ESET NOD 32! y Exaptamente 12 horas despues nombre de usuario desapare del la pagina xD! y creo yo que filtraron el “Input”
como lo pueden ver el sitio ahora:
Bueno espero que le haya gustado mi post!
Y bueno un saludo en especial a: Ibra The whabi Puesto que me ayudo a crear la cuenta de nod 32
By Dylan Irzi
Independiente Bug Research.
WebSecurityDev.com
Acerca de Mi Dylan Irzi
Colombiano, WebMaster, Independent Security Researcher , Apasionado por la Seguridad Informatica, #WhiteHat. Programador. Co-Fundador y Dueño de WebSecurityDev.com