[XSS]paypal.com

[RUTE]

Titlu: PAYPAL.com - XSS (Cross-Site-Scripting)

Data: 2013-04-11

Categorie: Remote Exploit

Status: Raportat - Functionabil - Fara raspuns

Risk: HIGH

Platforma: PHP

Autor: RUTE

---------------------------------------------

Info: Gata pe azi, deja e prea mult.

[Domnul.Do]

Mai are rost sa te felicit ?! O sa dureze pana cand valideaza , am deja 4 rapoarte la ei de jum de an

[RUTE]

@Domnul.Do Deja imi pare rau ca am raportat .

[akkiliON]

Mai are rost sa te felicit ?! O sa dureze pana cand valideaza , am deja 4 rapoarte la ei de jum due an

Pe paypal.com ?

[laz]

Ai in cateva ore 5 xss-uri in siteuri mari: Google, amazon, paypal si twitter.. Ma indoiesc ca ai avea ceva in twitter.

Am 5 xss-uri gasite in google... peste 100 de ore de cautare.

1 xss in paypal si peste 15 ore de cautare...

Crede-ma ca stiu foarte bine cu ce se mananca xss-urile astea.

In 3 ore sa gasesti: google, paypal, twitter, amazon este ceva aproape imposibil.

Eu sunt 100% convins ca e prea-slavitul photoshop. Nu ma intereseaza parerea altora.

[Domnul.Do]

Pe paypal.com ?

Cateva in cms.PayPal.com si restul sunt 'non Xss'

[RUTE]

@laz Daca rasfoiai prin topicuri, iti dadeai seama ca am un vector 0,5day care face bypass cam la toate metodele de protectie impotriva XSS. Daca tu cauti cu bine-cunoscutul "<script>alert(/xss/)</script>", atunci nu ma mir ca ti-a luat peste 100 de ore. Daca stii cum si unde sa cauti, chiar si cu acesti vectori basic, tot gasesti mai repede. Succes!

[akkiliON]

Cateva in cms.PayPal.com si restul sunt 'non Xss'

P?i cum câcat nu ai mai primit nimic mesaj o_O ?

În acel subdomeniu e valabil !

Eu am raportat unu în community ?i mi-au spus c? a g?sit altcineva bug-ul :/ !

[wildchild]

Bored much?

[RUTE]

@wildchild Much bored .

[Domnul.Do]

P?i cum câcat nu ai mai primit nimic mesaj o_O ?

În acel subdomeniu e valabil !

Eu am raportat unu în community ?i mi-au spus c? a g?sit altcineva bug-ul :/ !

Da,feedback-ul lor automat lam primit . Am si 'mail-ul' la ei dar pana cand ajunge la validare propriu-zisa dureaza o perioada de timp.

[trollophile]

Frumos, intr-o zi ti-ai scos bani de 1 luna.

[laz]

@laz Daca rasfoiai prin topicuri, iti dadeai seama ca am un vector 0,5day care face bypass cam la toate metodele de protectie impotriva XSS. Daca tu cauti cu bine-cunoscutul "<script>alert(/xss/)</script>", atunci nu ma mir ca ti-a luat peste 100 de ore. Daca stii cum si unde sa cauti, chiar si cu acesti vectori basic, tot gasesti mai repede. Succes!

Ma... eu nu iau la incercare vectorii si cand sare alertul ma bucur... Eu ma uit in sursa sa vad unde injecteaza, unde e vulnerabil

Auzi la el... Are un vector care face bypass la toate metodele de protectie )))))))))

hahhaha!1

deci... hajahajhaja=)))

Sa iti confirme un admin sau un cunoscator in domeniu acesta ce prostii zici .. Eu am 30 posturi... nu prea am cuvant de zis. PA!

[akkiliON]

Da,feedback-ul lor automat lam primit . Am si 'mail-ul' la ei dar pana cand ajunge la validare propriu-zisa dureaza o perioada de timp.

Nu ai trimis aici mesaj

sitesecurity@paypal.com

Dupaia î?i r?spund ca s? intri pe acest site keys.ebay.com s? le trimi?i mesaj înapoi dac? e ceva !

Edited April 11, 2013 by akkiliON

[RUTE]

@laz Adu-mi si tu dovezile ca ai buguri in PayPal. Incep sa apara haterii, normal, nu conteaza, chiar nu imi pasa. Nu lucrez pentru "faima", lucrez pentru mine, parerea ta e nula pentru mine.

Nu e neaparat vectorul care face bypass, poate m-am exprimat gresit, e obfuscarea prin care l-am adus unde e, vectorul e clasicul script alert.

[Kay97]

GG pentru munca ta, am incredere ca nu este "prea slavitul photoshop".

Totusi, daca nu il raportai, filozof ramaneai.

[RUTE]

@Kay97 Nu vreau sa ma apuc de furat conturi de PP si etc, plus ca au si program de Bug Bounty.

[yoyois]

Mi se pare dubios ...

Fa un proof cu vectorul tau fatal in : Cautare: - eMAG.ro

Ca sa inlaturi orice urma de dubii. (Pe emag am vazut un sistem de securitate foarte strict)

Crezi ca am un logger in emag?

PS: nu cred ca ai reusit sa "treci" de htmlentities.

// Sau pt un POC adevarat, publica url (fara vector) al unui site "vulnerabil" (doar parametrul vulnerabil al siteului).

Edited April 11, 2013 by yoyois

[RUTE]

@yoyois Ma crezi idiot? Crezi ca am sa il folosesc pe orice balarie de site romanesc, care posibil sa aiba in forms XSS Keylogger, sa il pierd? Nope, pana nu e patchuit nu il folosesc decat unde stiu sigur ca nu il pot pierde foarte repede si ma aleg cu ceva daca il pierd.

Oricum, dupa ce nu va mai functiona in parametrii normali, voi face disclosure.

[laz]

@yoyois Ma crezi idiot? Crezi ca am sa il folosesc pe orice balarie de site romanesc, care posibil sa aiba in forms XSS Keylogger, sa il pierd? Nope, pana nu e patchuit nu il folosesc decat unde stiu sigur ca nu il pot pierde foarte repede si ma aleg cu ceva daca il pierd.

Oricum, dupa ce nu va mai functiona in parametrii normali, voi face disclosure.

Ma... Aici nu sunt copii care sa inghita fiecare minciunica de a ta... Lasa-ne.

Ma mir cum de sunt atatia care te cred.

[StoNe-]

Feisbuc! Au scoruri frumu?ele.

ON: Bravo, la mai multe franzele!

[StrXt]

Eu sunt 100% convins ca e prea-slavitul photoshop. Nu ma intereseaza parerea altora.

Eu fac mai rapid cu paint

https://www.youtube.com/watch?v=dj983_G9e0g

^ Este un pamflet. A se trata ca atare. (puneti pe 720p)

[akkiliON]

Poti sa faci un video ?i s? î?i cenzurezi vectorul, locul unde e vulnerabil ?i ceva din pagina ca s? nu se observe unde e

Si la?i numai site-ul ! Adaugi document.cookie,domain si un alert cu un mesaj normal )

Ziceam ?i eu ) Dac? tot îs curio?i ! F?-le un video

[mah_one]

@laz Daca rasfoiai prin topicuri, iti dadeai seama ca am un vector 0,5day care face bypass cam la toate metodele de protectie impotriva XSS. Daca tu cauti cu bine-cunoscutul "<script>alert(/xss/)</script>", atunci nu ma mir ca ti-a luat peste 100 de ore. Daca stii cum si unde sa cauti, chiar si cu acesti vectori basic, tot gasesti mai repede. Succes!

RUTE, ce 0,5day bate expresia '"> ?, ia zi, ai gasit tu chinez-martian shit care sa inlocuiasca aceste caractere?

Cand verifici '"> si in pagina generata le encodeaza, e clar ca nu poti face nimic, daca tu ai alte caractere, combinatii de caractere care sa bypaseze aceste caractere, din partea mea jos palaria.

P.S.: vedeti ca unele site-uri seteaza in header X-Content-Security-Policy sau Content-Security-Policy, pe IE9 nu merg aceste headere si exista posibilitatea sa descoperiti un XSS.

Edited April 11, 2013 by mah_one

[yoyois]

^ @StrXt Incearca sa furi cookies cu el

@StrXt (s-ar putea ca el sa foloseasca o metoda similara)

Eu inca astept Dovada!!!

Fail

@RUTE: Cum vezi ca lumea intra la banuieli gata te oftici. Daca nu aveai nimic de ascuns demonstrai si la muritori.

Tu nu te-ai contrazis cu nimeni pe partea tehnica(ce face si cum face) (Probabil ca nu te pricepi la teorie).

Noi ce sa intelegem din ce faci tu ?

Edited April 11, 2013 by yoyois