Автор Тема: Persistent XSS [Google.com]  (Прочетена 5326 пъти)

0 Потребители и 1 Гост преглежда(т) тази тема.

!ntel

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 2
  • -Получени: 4
  • Публикации: 55
Re: Persistent XSS [Google.com]
« Отговор #15 -: 15 Ноември 2012, 00:15:34 »
Тука вече фейлна бая "Indian hacker Mohit Kumar discovered the XSS vulnerability on Google’s domain"
Едно е да си открил нещо сам, друго е да лъжеш, че си бил ти.
И да си направил страницата, голям ефект няма да има. Най-много да направят redirect, когато има подобна заявка...
« Последна редакция: 15 Ноември 2012, 00:19:55 от !ntel »

HD

  • Administrator
  • Hero Member
  • *****
  • Благодарности
  • -Казани: 208
  • -Получени: 165
  • Публикации: 3077
Re: Persistent XSS [Google.com]
« Отговор #16 -: 15 Ноември 2012, 00:44:23 »
Абе знаех си аз, че има нещо тъмно в Индия  ;D Хубаво е следващия път да се похвалиш с нещо истински твое, а не да се радваш като циганче на баничка, че са писали за теб и имало интерес от медиите. Това не е много гот.  Радвам се, че си закопал в нещо, но както се вика, повече работа и по-малко"хвалби".

Keeper_old

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 7
  • -Получени: 5
  • Публикации: 72
Re: Persistent XSS [Google.com]
« Отговор #17 -: 15 Ноември 2012, 13:54:28 »
По отношение на последните двама господа - Вие изобщо можете ли да четете английски или просто не сте си направили труда да прочетете цялата статия? Какви фейлове, какви индий.. Ако искате ще ви преведа цялата статия на български, за да разберете всичко.

Цитат
Now after two months yesterday another Bulgarian hacker going by name "Keeper" report me that the vulnerability still working even after multiple submissions to Google. Now I was surprised to see that How Google team can be so seriousness about the security of their users.

Дупката която съм открил е била откривана и преди. Просто момчето което държи сайта е един от хората които са я намирали. ЯСНО се казва, че "Сега след 2 месеца, вчера още един български хакер под името "Кееpеr" ми съобщи, че дупката все още е активна (т.е. че съм я намерил и аз) след многобройни писма до Гугъл..." Какво съм ви виновен, че не можете да четете? Едно е да не го разбереш друго е да се правите на интересни при положение, че не сте прави и да приказвате глупости. А след като му и съобщих за дупката реших да докажа на гугъл, че тя е опасна дори и на изолиран хост като напиша малка фишинг страница за крадене на акаунти.

Наистина вярвах, че тук сте грамотни и интелегентни хора, а ето гледай какви небивалици ръсите..

Ето и официалното съобщение от гугъл в отговор на моя репорт:

Цитат
Google Security Team security@google.com
Nov 12 (3 days ago)

to me
Hi,

Thanks for your message! The domain in which the uploaded gadget is hosted - *.googleusercontent.com - is specifically meant as a compartmentalized "sandbox" for various types of potentially unsafe, user-controlled content.

This domain is isolated from any sensitive content due to the same-origin policy.

If you see any way in which this causes problems for other Google services, please let us know.

You can read more about bugs that qualify for a reward here: http://www.google.com/corporate/rewardprogram.html

Regards,
Artur, Google Security Team

Ето ви и втора статия: http://thenextweb.com/google/2012/11/14/security-hole-potentially-allows-hackers-to-create-phishing-site-hosted-on-google-com/

Ето ви и линк до темата ми в хакфорумс: http://www.hackforums.net/showthread.php?tid=3016361

Следващият път, ако обичате не се изказвайте неподготвени и при това и да слагате определения на действията ми. Не съм някоя вчерашна лапетия която отчаяно се опитва да привлече вниманието на хората. Отворих тема и тук, за да се похваля, но това не означава, че ще си мълча при положение, че не сте прочели детайлите.
« Последна редакция: 15 Ноември 2012, 14:20:29 от Keeper »
Безплатно кракване на хаширащи и криптографски алгоритми --> http://www.hackforums.net/showthread.php?tid=2615816

!ntel

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 2
  • -Получени: 4
  • Публикации: 55
Re: Persistent XSS [Google.com]
« Отговор #18 -: 15 Ноември 2012, 15:24:38 »
Нали щеше да ни показваш как си намерил уязвимостта?
Вместо да ни се обесняваш, пробвай да докажеш, че ти сам си я намерил.
И в хака не си открехнал как си го постигнал - а уж там се споделят знания...

Изобщо не ме интересува дали лъжеш или наистина си се опитал сам и това е съвпадение - то си е за тебе.
Моето мнение е това на базата на нещата, които си написал - нищо повече.
Просто от страни изглежда така.

Сега остава да кажеш, че и това си го направил ти: http://news.thehackernews.com/passwords.txt
Благодарение на твоята форма...

Keeper_old

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 7
  • -Получени: 5
  • Публикации: 72
Re: Persistent XSS [Google.com]
« Отговор #19 -: 15 Ноември 2012, 16:18:30 »
Нали щеше да ни показваш как си намерил уязвимостта?
Вместо да ни се обесняваш, пробвай да докажеш, че ти сам си я намерил.
И в хака не си открехнал как си го постигнал - а уж там се споделят знания...

Изобщо не ме интересува дали лъжеш или наистина си се опитал сам и това е съвпадение - то си е за тебе.
Моето мнение е това на базата на нещата, които си написал - нищо повече.
Просто от страни изглежда така.

Сега остава да кажеш, че и това си го направил ти: http://news.thehackernews.com/passwords.txt
Благодарение на твоята форма...

Хубаво. Първоначално започнах да търся инпут полета където да екзекютна Javascript кода. Впоследствие разбрах, че на главния домейн всички форми за филтрирани на 100%. Реших да пробвам с ремоут източник на вектора който да екзекютне вектора в главния домейн. Насочих се към gmodules и iGoogle. От там разбрах за правенето на гаджи и започнах да тествам тяхната филтрация. След първите 2,3 опита се оказа, че и там е наложена някаква защита от Javascript код, и като цяло на всеки client-side и server-side код (предполагам имат някакви тяхни функции или просто ползват нещо като strip_tags(), htmlspecialchars(), htmlententities()). Както и да е непотръгна и така и се сетих да тествам за ремоут инжекция пак. Имаше откъсличена филтрация и само някои символи бяха ескейпнати. Затова единственото което остана е да криптирам вектора/query-то и пак чрез remote inclusion да го екзекютна. Използвах hex стойностите, за да го криптирам целия от - до. Така се оказа, че скрипта е успял да се подкара и напълно успешно да се екзекютне в главния домейн. Целта не беше просто да вмъкна XSS във някоя част на гугъл или някои събдомейн, а в главния google.com. По този начин вектора е успял да bypass-не функциите за ескейп на непозволените символи и е бил парс-нат като текст към сървъра, който впоследствие го е разчел като валиден код на Javascript и го е изпълнил. След като я намерих трябваше само да намеря начин да я експлойтна, за да докажа всъщност, че е уязвимост в сигурността, но самият факт, че успях да bypass-на опитите за ограничаване на възможностите да се изпълни непредвиден код е доказателство за дупка. След като гугъл отхвърлиха репорта ми за евентуалната дупка, твърдейки , че е на изолиран хост който се намира под sandbox и няма никакъв достъп до информацията на гугъл. Затова и написах малка фишинг страница за крадене на акаунти с цел да докажа на екипа на гугъл, че дупката която те не квасифицираха като потенциално опасна, може да бъде експлойтната и да служи за крадене на акаунти. Въпреки дупката за постоянен крос-сайт скриптинг, не мога да взимам бисквитките на потребителите защото sandbox домейна не ги съдържа сесийте с тях.

И не, не се обяснявам на никого, най-малкото на теб, защото ти първи започна да ме набутваш в темата с прикриването. Една антена за улавяне на далечни Wi-Fi мрежи би послужила като прикритие за най-много един ден докато от гдбоп не проследят ип-то на мрежата към която съм свързан и не проверят на място всички връзки осъществени към нея, а й самият факт, че връзката може да не е постоянна е от огромно значение. Но това вече го казах и още нещо да добавя. Опровергавам ви с валидни аргументи и всяко мое твърдение е подкрепено с доказателство. Всъщност ти каза, че не те интересува дали лъжа или не? Тогава закакво ти е да знаеш как съм го направил? Но ето обясних ти. А щом твоето мнение се базира на предоставената от мен информация, ако си беше направил труда да прочетеш цялата статия нямаше да оспорваш твърденията ми. Mohit ясно е посочил, че тази дупка е била откривана и преди и, че аз не съм първият. Това, че съм я открил след като вече има предишни репорти далеч не означава, че копирам, лъжа или се правя на интересен.

На последно място - не .txt файла не е от моята форма за фишинг, а е добавено от собственика на thehackernews.com. Изобщо си нямам на представа защо изобщо е добавен този файл, но да нямам общо с него. А и нали все пак спорим за достоверността на действията ми?

Не съм посочвал, че ще обяснявам как съм го направил, а че ще го направя ако някои поиска. Това не съм го изписал, за да опровергая нападките ти, а просто, за да не изглежда, че си прав. Така че повярвай ми не ти се обяснявам на теб, нито на когото и да било. Целта ми беше просто да се похваля с постижението, а не да водя диспут.
« Последна редакция: 15 Ноември 2012, 16:32:07 от Keeper »
Безплатно кракване на хаширащи и криптографски алгоритми --> http://www.hackforums.net/showthread.php?tid=2615816

Keeper_old

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 7
  • -Получени: 5
  • Публикации: 72
Re: Persistent XSS [Google.com]
« Отговор #20 -: 15 Ноември 2012, 16:26:12 »
Интернетът прекъсна и направих double post.. Ако може го изтрийте.
Безплатно кракване на хаширащи и криптографски алгоритми --> http://www.hackforums.net/showthread.php?tid=2615816

jazzman

  • Hero Member
  • *****
  • Благодарности
  • -Казани: 25
  • -Получени: 190
  • Публикации: 3623
Re: Persistent XSS [Google.com]
« Отговор #21 -: 15 Ноември 2012, 16:37:39 »
@Keeper, всеки един юзър е ценен във форума, благодарение на всички нас форума е място където всеки може да сподели мнението си и като цяло идеята е да се учим един другиго,  форума да бъде забавен и все повече потребите да влизат и да пишат за проблемите си. 
Чел съм интересни неща както от Интела, така и от HD, сега чета и твоите тук.

Препоръка:

Направи един малък урок, под формата на текст или някакъв друг формат и в него обясни как се прави XSS или там каквото искаш и намираш за полезно да се знае.
Как се откриват дупки и как можем да се препазим, инструментите които ти препоръчваш да се ползват, препоръчителни сайтове и т.н и т.н..
На мен поне (40 годишен съм), отдавна не ми е забавно да чета статии кой какво е постигнал, кой какво е хакнал има си и такива форуми, но аз не влизам в тях.
Мисля, че ще бъда разбран правилно.
jazz.
Java is to Javascript as fun is to funeral.

http://nau4i.me/forum/index.php/topic,15129.0.html

Keeper_old

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 7
  • -Получени: 5
  • Публикации: 72
Re: Persistent XSS [Google.com]
« Отговор #22 -: 15 Ноември 2012, 16:45:46 »
Да, перфектно те разбирам. Знам че форума има точно тази идея за споделяне на знания и взаймно решаване на проблеми, но тази секцията предлага и шанса да се похвалим. Затова сметнах за добре да постна тема за дупката ми в гугъл защото смятам, че е значителна. Но няма как да си замълча пред !ntel примерно който се опитва да ме злепостави. Нямах намерение да изпадам в спор с някого, но той искаше обяснение, дадох му го. Нямам намерение да пиша уроци на български защото съм свикнал с терминологията на английски. Но ако сметнете темата за ненужна, може преспокойно да я изтриете. В крайна сметката аз влязох да постна нея, а не да споря с някого или да пиша уроци. Ако някои все пак иска, ще се постарая да бъда максимално изчерпателен и да предоставя доста обстоен урок на тема XSS.
« Последна редакция: 15 Ноември 2012, 16:47:41 от Keeper »
Безплатно кракване на хаширащи и криптографски алгоритми --> http://www.hackforums.net/showthread.php?tid=2615816

!ntel

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 2
  • -Получени: 4
  • Публикации: 55
Re: Persistent XSS [Google.com]
« Отговор #23 -: 15 Ноември 2012, 16:52:47 »
Нито искам да ми се обесняваш, нито искам да те излагам или нещо такова :D
Просто това е форум за споделяне - научи.ме

То се подразбира, че е редно да споделиш методологията, фукането само по себе си няма нищо полезно в него (поне за другите).
Ти може да си гъделичкаш егото колкото искаш, но това засяга само теб :)
А този форум малко или много се опитва да помага най-вече на другите и не е средство за лична реклама.

Пак ти казвам - от това което си представил като информация, така изглеждат нещата от страни:
Първо казваш, че ти си намерил уязвимост, после изведнъж даваш някаква статия в която не пишат пряко за твоето открите, а за това на друг хакер.
След това се оказва, че ти си му помогнал на тоя хакер, като си направил демо страница.
После пък хакера си прави собствен POC - незнайно защо, след като вече ти си направил подобна страница...

Това са факти и те изглеждат по този начин - аз съм просто страничен наблюдател.
Оставяме на страна факта, че това не е форум за хакери, а за споделяне на знание...

PS: Не ми обяснявай какво можели гдбоп, защото съм работил с тях и си далеч от истината.
Там се работи по поръчка, а не защото някой си неизвестен бил хакнал нещо си...
Относно това с Wifi-то - професионалните хакери ползват точно този метод на защита.
Не знам с колко професионалисти си общувал, но мога да те уверя, че това е най-добрият начин.
Никой себеуважаващ се и кадърен хакер няма да седне да пробива от дома си...

Това че ти си решил да се правиш на хакер от вкъщи е друга тема. (То затова и параноята ти е толкова голяма).
Няма лошо, но поне не заблуждавай хората с подобен тип изказвания.

И какво като ти проследят IP-то. Ако си достатъчно умен ще си разделяш атаките през различни Wifi, а комуникацията и останалите нормални дейности през друга wifi и т.н.
Но какво ли ти обеснявам - човек, който умее само да се фука на ляво и на дясно, не може да очакваш да разбере.

No offence! Изобщо не искам да те злепоставям, но това е което виждам от темата и просто споделям мнение :)
« Последна редакция: 15 Ноември 2012, 16:57:47 от !ntel »

Keeper_old

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 7
  • -Получени: 5
  • Публикации: 72
Re: Persistent XSS [Google.com]
« Отговор #24 -: 15 Ноември 2012, 17:05:26 »
Е добре щом темата не е подходяща ще помоля да я изтриийте. Няма да изпадам пак в спор независимо от каквото и да било. Това което видях като описание на секцията беше следното:

Цитат
Тук е мястото да поискате мнение за вашият проект (или просто да се похвалите)

@!ntel ако искаш можем да обсъдим останалите неща в скайп или irc чат, за да не създаваме излишен спам тука. Аз говоря напълно нормално, без да се правя на интересен или да си повишавам егото, както ти си ме разбрал.
Безплатно кракване на хаширащи и криптографски алгоритми --> http://www.hackforums.net/showthread.php?tid=2615816

!ntel

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 2
  • -Получени: 4
  • Публикации: 55
Re: Persistent XSS [Google.com]
« Отговор #25 -: 15 Ноември 2012, 17:34:54 »
Никой не говори за триене на теми или нещо подобно.
Ти се хвалиш, ние даваме мнение относно това - нищо повече.
От това, ти може само да спечелиш, защото даваме градивни мнения (добре де - може и да съм зачекнал малко, но това е поради първоначалното представяне на темата :P )
Още повече, че все пак сподели някаква методология (няма значение дали ще е полезна или не - все пак е някакво знание).
Плюс това не сме спорили наистина. Просто нещата бяха малко неясни.

Относно обсъждането - нямам нищо против. Като искаш, прати ЛС с инфо за връзка и ще се радвам да обсъждаме каквото искаш (стига да нямам работа в този момент).
Иначе не виждам с какво ще спамим темата след като всички неща са свързани поне косвено с темата :)
« Последна редакция: 15 Ноември 2012, 17:36:55 от !ntel »

HD

  • Administrator
  • Hero Member
  • *****
  • Благодарности
  • -Казани: 208
  • -Получени: 165
  • Публикации: 3077
Re: Persistent XSS [Google.com]
« Отговор #26 -: 15 Ноември 2012, 18:30:04 »
И понеже се хвалите, че сте намерили уязвимост, нека да кажа, че това не е така.  И понеже преди мен някой го е обяснил добре, а и Кееper e свикнал с терминологията, нека всички прочетем това.  http://techcrunch.com/2012/11/14/the-difference-between-a-vulnerability-and-a-moron-using-google-services-trying-to-phish-your-password/

Keeper_old

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 7
  • -Получени: 5
  • Публикации: 72
Re: Persistent XSS [Google.com]
« Отговор #27 -: 15 Ноември 2012, 19:12:55 »
И понеже се хвалите, че сте намерили уязвимост, нека да кажа, че това не е така.  И понеже преди мен някой го е обяснил добре, а и Кееper e свикнал с терминологията, нека всички прочетем това.  http://techcrunch.com/2012/11/14/the-difference-between-a-vulnerability-and-a-moron-using-google-services-trying-to-phish-your-password/

Да, в самата фишинг страница няма нищо подобно като дупка. Аз говоря за екзекютването на джаваскрипта, независимо дали не може да служи като метод за експлоатация все пак е нещо непредвидено от екипа им.
Безплатно кракване на хаширащи и криптографски алгоритми --> http://www.hackforums.net/showthread.php?tid=2615816

HD

  • Administrator
  • Hero Member
  • *****
  • Благодарности
  • -Казани: 208
  • -Получени: 165
  • Публикации: 3077
Re: Persistent XSS [Google.com]
« Отговор #28 -: 15 Ноември 2012, 20:22:51 »
Принципно пак казвам това не е дупка или нещо от рода. Нищо не е загубено от страна на Google.  Ето ти още един линк:http://thenextweb.com/google/2012/11/14/security-hole-potentially-allows-hackers-to-create-phishing-site-hosted-on-google-com/
При положение, че този адрес e отделен от другите и също така  е отделен от сървърната архитектура на  Google, защо им е да мислят за XSS? Те са си казали още в началото, че подобно поведение е възможно там и именно заради това са го отделили. Същото правят и Facebook, Yahoo и почти всички компании.  Това си е чист фишинг, което си направил. Нищо повече.

Keeper_old

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 7
  • -Получени: 5
  • Публикации: 72
Re: Persistent XSS [Google.com]
« Отговор #29 -: 15 Ноември 2012, 20:42:18 »
Не го поправят точно поради тази причина, че не може да се направи нищо по отношение на сигурността. Но самият факт, че има наложена някаква филтрация ме кара да мисля, че все пак са положили някакъв труд да възспрат джаваскрипта. Просто едно, че е на отделен хост ами и скоро iGoogle ще се затваря, така че не ги бърка тази дупка и затова я игнорират.
Безплатно кракване на хаширащи и криптографски алгоритми --> http://www.hackforums.net/showthread.php?tid=2615816