Jump to content
SilenTx0

[Stored XSS] mail.yahoo.com #2

Recommended Posts

Posted

Toat? povestea începe de aici: https://rstforums.com/forum/91225-stored-xss-mail-yahoo-com.rst

Acum câteva s?pt?mâni am g?sit o vulnerabilitate de tip Cross site scripting (stored) în Yahoo Mail.

Pe scurt, vulnerabilitatea se reproducea în felul urm?tor: aveai nevoie de dou? conturi: contul atacatorului ?i contul victimei.

Pe contul atacatorului, setai numele care s? apar? atunci când trimi?i un email orice vector XSS de forma "><vector> ( "> era obligatoriu pentru a ie?i din atributul "title"). Trimiteai un nou mail c?tre adresa ta(a atacatorului) ?i c?tre victima. În?ial, pe contul victimei nu se întamplase nimic, codul Javascript ap?rea ca text. M-am gândit s? r?spund la mail-ul primit. Revenind la inbox, am observat c? vectorul nu mai ap?rea ca text, ci era interpretat ca fiind cod. Îns? supriza cea mai mare a fost când am descoperit c? vectorul nu se executa doar pe contul victimei, ci ?i pe contul atacatorului. Atunci mi-am pus întrebarea fireasc? cum pot face s? se execute codul Javascript far? interc?iunea victimei.

Analizând informa?iile ob?iunute deja, ?i anume c? vectorul se executa doar atunci când raspundeam la mesaj m-am gândit s? folosesc 3 conturi în loc de 2. Am trimis mail de pe contul atacatorului, de aceast? dat? ad?ugând pe lista destinatarilor un al doilea cont al meu. Am dat "Reply all" iar dup? ce r?spunsul a ajuns pe contul victimei, codul Javascript s-a executat (?i se executa de fiecare dat? când vitima efectua o ac?iune (cum ar fi citirea mesajului, stergerea altor mesaje etc)).

Am raportat vulnerabilitatea iar ce de la Yahoo au spus c? este duplicat?.

Dup? câteva zile, am verificat dac? vulnerabilitatea mai func?ioneaz?. Func?iona, îns? codul JS nu se mai executa pentru fiecare ac?iune a victimei, ci doar atunci când victima se loga sau când d?dea refresh la pagina. Am încercat s? refac to?i pa?ii pentru a vedea ce au schimbat. De aceast? dat?, când încercam s? trimit mesajul de pe contul atacatorului (care avea setat numele "><img src=x onerror=alert(1)>) primeam un email prin care eram anun?at c? emailul nu a putut fi trimis datorit? numelui meu. Dup? câteva încerc?ri am observat c? problema nu era tagul HTML(cum m? a?teptam), ci caractere libere din interiorul s?u. Am înlocuit toate space-urile cu / iar vectorul a devenit "><img/src="x"/onerror=alert(1)> . Am trimis emailul ?i totul func?iona cum trebuie.

Imediat am raportat vulnerabilitatea. Cei de la Yahoo m-au întrebat dac? înc? functioneaz?, pentru c? ei tocmai au rezolvat-o (bun? treab? :)) ). Le-am dat din nou pa?ii necesari pentru a reproduce vulnerabilitatea ?i mi-au spus c? e valid?.

Video PoC #1 :

Video PoC #2 :

?i asa...Yahoo plateste pentru o vulnerabilitate de 2, 3, cine stie poate de 5 ori.

  • Upvote 1
Posted (edited)

Hai cu lada de bere, ca tot le-ai luat banii la aia de la Yahoo /..

Is jegosi rau astia de la yahoo, nici nu merita sa cauti la ei.

Feriti-va de yahoo si paypal[ alti ingramaditi ].

In rest , e ok...

Edited by sleed
Posted
O sa ii spuna ca e duplicate, nu te-ai obisnuit ? ...

Mi-au dat deja valid, am zis în primul post. Prima dat? când am raportat-o am luat duplicate iar a doua oar? valid, acum a?tept s? vad cât îmi dau.

Posted
Hai cu lada de bere, ca tot le-ai luat banii la aia de la Yahoo /..

Is jegosi rau astia de la yahoo, nici nu merita sa cauti la ei.

Feriti-va de yahoo si paypal[ alti ingramaditi ].

In rest , e ok...

Cum a zis si sleed, nu cautati in paypal. Sunt cei mai jegosi!

In general sa va feriti de cei care raspund greu. Cand se raspunde greu la un raport implicit sansele ca la acel bug sa primesti "duplicate" sau "can't be reproduced" cresc considerabil.

Posted
Cum a zis si sleed, nu cautati in paypal. Sunt cei mai jegosi!

In general sa va feriti de cei care raspund greu. Cand se raspunde greu la un raport implicit sansele ca la acel bug sa primesti "duplicate" sau "can't be reproduced" cresc considerabil.

Cei de la Yahoo imi r?spundeau extrem de greu. Am observat ca dupa ce raportez vulnerabilitatea le trimit si mail pe security@yahoo.com sa se uite peste bug, r?spund foarte repede(chiar in ziua urm?toare).

Posted
Cum pm 400 ... astia sunt retardati ... asta e bataie de joc vizavi de faptul ca le ai aratat cum au "reparat" ei prima data problema ... :| ...

De aceea?i p?rere sunt ?i eu. Mi se pare b?taie de joc frate, pe un SELF XSS într-un alt serviciu Yahoo s? primesc 500$, iar pentru o vulnerabilitate de tip STORED Cross site scripting în Yahoo!Mail care func?iona f?r? interac?iunea victimei s? primesc 400$ :|. Le dau acum un mail s? reevalueze bugul...

Posted
Degeaba, pe ceva care afecta mult mai mult decat asta am luat 250.

La fel, am zis sa reevalueze dar nu au mai raspuns.

Nici eu nu m? a?tept s? r?spund? la cât sunt de rata?i, dar m?car am încercat.

Am putea face niste articole pentru TheHackerNews legat de asta. Dac? v? aduce?i aminte, cei de la Yahoo au introdus program de bug bounty dup? ce a ap?rut articolul ?sta: http://thehackernews.com/2013/10/Yahoo-bug-bounty-program-reward-vulnerability.html

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...