SilenTx0 Posted December 13, 2014 Report Posted December 13, 2014 Toat? povestea începe de aici: https://rstforums.com/forum/91225-stored-xss-mail-yahoo-com.rstAcum câteva s?pt?mâni am g?sit o vulnerabilitate de tip Cross site scripting (stored) în Yahoo Mail.Pe scurt, vulnerabilitatea se reproducea în felul urm?tor: aveai nevoie de dou? conturi: contul atacatorului ?i contul victimei.Pe contul atacatorului, setai numele care s? apar? atunci când trimi?i un email orice vector XSS de forma "><vector> ( "> era obligatoriu pentru a ie?i din atributul "title"). Trimiteai un nou mail c?tre adresa ta(a atacatorului) ?i c?tre victima. În?ial, pe contul victimei nu se întamplase nimic, codul Javascript ap?rea ca text. M-am gândit s? r?spund la mail-ul primit. Revenind la inbox, am observat c? vectorul nu mai ap?rea ca text, ci era interpretat ca fiind cod. Îns? supriza cea mai mare a fost când am descoperit c? vectorul nu se executa doar pe contul victimei, ci ?i pe contul atacatorului. Atunci mi-am pus întrebarea fireasc? cum pot face s? se execute codul Javascript far? interc?iunea victimei.Analizând informa?iile ob?iunute deja, ?i anume c? vectorul se executa doar atunci când raspundeam la mesaj m-am gândit s? folosesc 3 conturi în loc de 2. Am trimis mail de pe contul atacatorului, de aceast? dat? ad?ugând pe lista destinatarilor un al doilea cont al meu. Am dat "Reply all" iar dup? ce r?spunsul a ajuns pe contul victimei, codul Javascript s-a executat (?i se executa de fiecare dat? când vitima efectua o ac?iune (cum ar fi citirea mesajului, stergerea altor mesaje etc)).Am raportat vulnerabilitatea iar ce de la Yahoo au spus c? este duplicat?.Dup? câteva zile, am verificat dac? vulnerabilitatea mai func?ioneaz?. Func?iona, îns? codul JS nu se mai executa pentru fiecare ac?iune a victimei, ci doar atunci când victima se loga sau când d?dea refresh la pagina. Am încercat s? refac to?i pa?ii pentru a vedea ce au schimbat. De aceast? dat?, când încercam s? trimit mesajul de pe contul atacatorului (care avea setat numele "><img src=x onerror=alert(1)>) primeam un email prin care eram anun?at c? emailul nu a putut fi trimis datorit? numelui meu. Dup? câteva încerc?ri am observat c? problema nu era tagul HTML(cum m? a?teptam), ci caractere libere din interiorul s?u. Am înlocuit toate space-urile cu / iar vectorul a devenit "><img/src="x"/onerror=alert(1)> . Am trimis emailul ?i totul func?iona cum trebuie.Imediat am raportat vulnerabilitatea. Cei de la Yahoo m-au întrebat dac? înc? functioneaz?, pentru c? ei tocmai au rezolvat-o (bun? treab? ). Le-am dat din nou pa?ii necesari pentru a reproduce vulnerabilitatea ?i mi-au spus c? e valid?.Video PoC #1 : Video PoC #2 : ?i asa...Yahoo plateste pentru o vulnerabilitate de 2, 3, cine stie poate de 5 ori. 1 Quote
Active Members MrGrj Posted December 13, 2014 Active Members Report Posted December 13, 2014 Asa merita daca se face munca de mantuiala. Felicitari. Award ceva ? In ritmul asta o sa te cheme astia sa lucrezi pentru ei Quote
SilenTx0 Posted December 13, 2014 Author Report Posted December 13, 2014 Asa merita daca se face munca de mantuiala. Felicitari. Award ceva ? Înc? nu, dar am s? revin cu reward-ul. Quote
sleed Posted December 15, 2014 Report Posted December 15, 2014 (edited) Hai cu lada de bere, ca tot le-ai luat banii la aia de la Yahoo /..Is jegosi rau astia de la yahoo, nici nu merita sa cauti la ei. Feriti-va de yahoo si paypal[ alti ingramaditi ]. In rest , e ok... Edited December 15, 2014 by sleed Quote
Active Members MrGrj Posted December 15, 2014 Active Members Report Posted December 15, 2014 (edited) O sa ii spuna ca e duplicate, nu te-ai obisnuit ? ...// am omis asta. Sorry Edited December 15, 2014 by MrGrj Quote
SilenTx0 Posted December 15, 2014 Author Report Posted December 15, 2014 O sa ii spuna ca e duplicate, nu te-ai obisnuit ? ...Mi-au dat deja valid, am zis în primul post. Prima dat? când am raportat-o am luat duplicate iar a doua oar? valid, acum a?tept s? vad cât îmi dau. Quote
florin_darck Posted December 15, 2014 Report Posted December 15, 2014 Sa pui poza cu tricoul.Au trecut vremurile alea. Acum sunt mai seriosi. Quote
mah_one Posted December 16, 2014 Report Posted December 16, 2014 Hai cu lada de bere, ca tot le-ai luat banii la aia de la Yahoo /..Is jegosi rau astia de la yahoo, nici nu merita sa cauti la ei. Feriti-va de yahoo si paypal[ alti ingramaditi ]. In rest , e ok...Cum a zis si sleed, nu cautati in paypal. Sunt cei mai jegosi!In general sa va feriti de cei care raspund greu. Cand se raspunde greu la un raport implicit sansele ca la acel bug sa primesti "duplicate" sau "can't be reproduced" cresc considerabil. Quote
Gio33 Posted December 16, 2014 Report Posted December 16, 2014 Felicitari, pacat ca sunt asa cacanari. Quote
SilenTx0 Posted December 16, 2014 Author Report Posted December 16, 2014 Cum a zis si sleed, nu cautati in paypal. Sunt cei mai jegosi!In general sa va feriti de cei care raspund greu. Cand se raspunde greu la un raport implicit sansele ca la acel bug sa primesti "duplicate" sau "can't be reproduced" cresc considerabil.Cei de la Yahoo imi r?spundeau extrem de greu. Am observat ca dupa ce raportez vulnerabilitatea le trimit si mail pe security@yahoo.com sa se uite peste bug, r?spund foarte repede(chiar in ziua urm?toare). Quote
SilenTx0 Posted December 18, 2014 Author Report Posted December 18, 2014 http://i.imgur.com/XGvaoDe.pngNu mai zic nimic... Quote
nacks Posted December 18, 2014 Report Posted December 18, 2014 http://i.imgur.com/XGvaoDe.pngNu mai zic nimic...Cum pm 400 ... astia sunt retardati ... asta e bataie de joc vizavi de faptul ca le ai aratat cum au "reparat" ei prima data problema ... ...L.E: incearca sa le mai trimiti de pe alte conturi acelasi lucru poate inmultesti ceva Quote
SilenTx0 Posted December 18, 2014 Author Report Posted December 18, 2014 Cum pm 400 ... astia sunt retardati ... asta e bataie de joc vizavi de faptul ca le ai aratat cum au "reparat" ei prima data problema ... ...De aceea?i p?rere sunt ?i eu. Mi se pare b?taie de joc frate, pe un SELF XSS într-un alt serviciu Yahoo s? primesc 500$, iar pentru o vulnerabilitate de tip STORED Cross site scripting în Yahoo!Mail care func?iona f?r? interac?iunea victimei s? primesc 400$ . Le dau acum un mail s? reevalueze bugul... Quote
Active Members akkiliON Posted December 18, 2014 Active Members Report Posted December 18, 2014 Shit happens.Take a look: https://hackerone.com/reports/12685 Quote
SilenTx0 Posted December 18, 2014 Author Report Posted December 18, 2014 Degeaba, pe ceva care afecta mult mai mult decat asta am luat 250.La fel, am zis sa reevalueze dar nu au mai raspuns.Nici eu nu m? a?tept s? r?spund? la cât sunt de rata?i, dar m?car am încercat.Am putea face niste articole pentru TheHackerNews legat de asta. Dac? v? aduce?i aminte, cei de la Yahoo au introdus program de bug bounty dup? ce a ap?rut articolul ?sta: http://thehackernews.com/2013/10/Yahoo-bug-bounty-program-reward-vulnerability.html Quote