Buenas Noches mis lectores, tenia rato sin escribir, el trabajo , el estudio y mi novia me mantiene ocupado pero aqui volvi para compartirle uno de mis ultimos reportes.
El dia de ayer a al las 3:40 pm encontre un CSRF en Twitter ,la cual mas tarde me di cuenta que aplicaba a todo. este CSRF Permitia que a partir de un link enviado de una cuenta atacante a una cuenta victima fuece hackeada !
Realize multiples pruebas y todas salieron positivas, logre grabar un video y al final lo podra vizualizar.
Lo que me sorprendio fue que a las 10 am de la mañana (Hora Colombiana ) de dia de hoy ( 04/09/13 ). Al seguir buscando vulnerabilidades en Twitter esta misma vulnerabilidad de CRSF Aplicaba para todo! , realize multiples PoC, en una logre “trinar”, en otra retweetear, en otra cambie el nombre del perfil, en otra la descripcion, todo esto con un simple archivo de html.
Como llege hasta la vulnerabilidad? estaba leyendo un articulo de mecanismo de doble autentificacion con tu numero de celular decidi intentarlo y mirar las cabezeras y probe eliminando token de seguridad que este tenia y wala! funciono!
Esta vulnerabilidad consistia en que aun sin tener el token de seguridad valido , la operacion que se estaba solicitando se realizaba. en pocas palabras el token que tenia antes no funcionaba! estaba de lujo. por que esta aunque la borrase de la peticion, la peticion se ejecutaba.
Empezemos con el Reporte.
Titulo: CSRF En Twitter.com
Acerca del Autor: Dylan Irzi – Juan David Castro Cantillo. – Colombiano.
Independent Security Researcher de 17 años de edad, Con Hall Of Fame Owncloud, Microsoft / Adobe .
De la Ciudad de Barranquilla.
A Quien Afectaban: A Todos los usuarios.
Estatus de la Vulnerabilidad: Fixed!
Video de Prueba de Concepto:
Bueno depues de eso a las 4 de la tarde hora colombiana, se puso en modo mantemiento para reparar supongo que la vulnerabilidad.
Eso ha sido todo el informe. la verdad ahora solo queda esperar que me coloquen en Hall Of Fame De Twitter por WhiteHat. que segun el mail sera en unos dias.
Por Ultimo Agradecer a @SeguridadBlanca, @SrtadeDylan, @Armand0A, @Maldonad_Jeison, Por ayudarme Probar las PoC.
al Equipo de WebSecurityDev, y a Dios.
——————————————–
Att: Dylan Irzi
Independent Security Researcher
Happy Hacking!
