[Stored XSS] mail.yahoo.com #2

[SilenTx0]

Toat? povestea începe de aici: https://rstforums.com/forum/91225-stored-xss-mail-yahoo-com.rst

Acum câteva s?pt?mâni am g?sit o vulnerabilitate de tip Cross site scripting (stored) în Yahoo Mail.

Pe scurt, vulnerabilitatea se reproducea în felul urm?tor: aveai nevoie de dou? conturi: contul atacatorului ?i contul victimei.

Pe contul atacatorului, setai numele care s? apar? atunci când trimi?i un email orice vector XSS de forma "><vector> ( "> era obligatoriu pentru a ie?i din atributul "title"). Trimiteai un nou mail c?tre adresa ta(a atacatorului) ?i c?tre victima. În?ial, pe contul victimei nu se întamplase nimic, codul Javascript ap?rea ca text. M-am gândit s? r?spund la mail-ul primit. Revenind la inbox, am observat c? vectorul nu mai ap?rea ca text, ci era interpretat ca fiind cod. Îns? supriza cea mai mare a fost când am descoperit c? vectorul nu se executa doar pe contul victimei, ci ?i pe contul atacatorului. Atunci mi-am pus întrebarea fireasc? cum pot face s? se execute codul Javascript far? interc?iunea victimei.

Analizând informa?iile ob?iunute deja, ?i anume c? vectorul se executa doar atunci când raspundeam la mesaj m-am gândit s? folosesc 3 conturi în loc de 2. Am trimis mail de pe contul atacatorului, de aceast? dat? ad?ugând pe lista destinatarilor un al doilea cont al meu. Am dat "Reply all" iar dup? ce r?spunsul a ajuns pe contul victimei, codul Javascript s-a executat (?i se executa de fiecare dat? când vitima efectua o ac?iune (cum ar fi citirea mesajului, stergerea altor mesaje etc)).

Am raportat vulnerabilitatea iar ce de la Yahoo au spus c? este duplicat?.

Dup? câteva zile, am verificat dac? vulnerabilitatea mai func?ioneaz?. Func?iona, îns? codul JS nu se mai executa pentru fiecare ac?iune a victimei, ci doar atunci când victima se loga sau când d?dea refresh la pagina. Am încercat s? refac to?i pa?ii pentru a vedea ce au schimbat. De aceast? dat?, când încercam s? trimit mesajul de pe contul atacatorului (care avea setat numele "><img src=x onerror=alert(1)>) primeam un email prin care eram anun?at c? emailul nu a putut fi trimis datorit? numelui meu. Dup? câteva încerc?ri am observat c? problema nu era tagul HTML(cum m? a?teptam), ci caractere libere din interiorul s?u. Am înlocuit toate space-urile cu / iar vectorul a devenit "><img/src="x"/onerror=alert(1)> . Am trimis emailul ?i totul func?iona cum trebuie.

Imediat am raportat vulnerabilitatea. Cei de la Yahoo m-au întrebat dac? înc? functioneaz?, pentru c? ei tocmai au rezolvat-o (bun? treab? ). Le-am dat din nou pa?ii necesari pentru a reproduce vulnerabilitatea ?i mi-au spus c? e valid?.

Video PoC #1 :

Video PoC #2 :

?i asa...Yahoo plateste pentru o vulnerabilitate de 2, 3, cine stie poate de 5 ori.

[MrGrj]

Asa merita daca se face munca de mantuiala. Felicitari.

Award ceva ?

In ritmul asta o sa te cheme astia sa lucrezi pentru ei

[SilenTx0]

Asa merita daca se face munca de mantuiala. Felicitari.

Award ceva ?

Înc? nu, dar am s? revin cu reward-ul.

[sleed]

Hai cu lada de bere, ca tot le-ai luat banii la aia de la Yahoo /..

Is jegosi rau astia de la yahoo, nici nu merita sa cauti la ei.

Feriti-va de yahoo si paypal[ alti ingramaditi ].

In rest , e ok...

Edited December 15, 2014 by sleed

[MrGrj]

O sa ii spuna ca e duplicate, nu te-ai obisnuit ? ...

// am omis asta. Sorry

Edited December 15, 2014 by MrGrj

[SilenTx0]

O sa ii spuna ca e duplicate, nu te-ai obisnuit ? ...

Mi-au dat deja valid, am zis în primul post. Prima dat? când am raportat-o am luat duplicate iar a doua oar? valid, acum a?tept s? vad cât îmi dau.

[quadxenon]

Sa pui poza cu tricoul.

[florin_darck]

Sa pui poza cu tricoul.

Au trecut vremurile alea. Acum sunt mai seriosi.

[mah_one]

Hai cu lada de bere, ca tot le-ai luat banii la aia de la Yahoo /..

Is jegosi rau astia de la yahoo, nici nu merita sa cauti la ei.

Feriti-va de yahoo si paypal[ alti ingramaditi ].

In rest , e ok...

Cum a zis si sleed, nu cautati in paypal. Sunt cei mai jegosi!

In general sa va feriti de cei care raspund greu. Cand se raspunde greu la un raport implicit sansele ca la acel bug sa primesti "duplicate" sau "can't be reproduced" cresc considerabil.

[Gio33]

Felicitari, pacat ca sunt asa cacanari.

[SilenTx0]

Cum a zis si sleed, nu cautati in paypal. Sunt cei mai jegosi!

In general sa va feriti de cei care raspund greu. Cand se raspunde greu la un raport implicit sansele ca la acel bug sa primesti "duplicate" sau "can't be reproduced" cresc considerabil.

Cei de la Yahoo imi r?spundeau extrem de greu. Am observat ca dupa ce raportez vulnerabilitatea le trimit si mail pe security@yahoo.com sa se uite peste bug, r?spund foarte repede(chiar in ziua urm?toare).

[SilenTx0]

http://i.imgur.com/XGvaoDe.png

Nu mai zic nimic...

[nacks]

http://i.imgur.com/XGvaoDe.png

Nu mai zic nimic...

Cum pm 400 ... astia sunt retardati ... asta e bataie de joc vizavi de faptul ca le ai aratat cum au "reparat" ei prima data problema ... ...

L.E: incearca sa le mai trimiti de pe alte conturi acelasi lucru poate inmultesti ceva

[SilenTx0]

Cum pm 400 ... astia sunt retardati ... asta e bataie de joc vizavi de faptul ca le ai aratat cum au "reparat" ei prima data problema ... ...

De aceea?i p?rere sunt ?i eu. Mi se pare b?taie de joc frate, pe un SELF XSS într-un alt serviciu Yahoo s? primesc 500$, iar pentru o vulnerabilitate de tip STORED Cross site scripting în Yahoo!Mail care func?iona f?r? interac?iunea victimei s? primesc 400$ . Le dau acum un mail s? reevalueze bugul...

[akkiliON]

Shit happens.

Take a look: https://hackerone.com/reports/12685

[SilenTx0]

Degeaba, pe ceva care afecta mult mai mult decat asta am luat 250.

La fel, am zis sa reevalueze dar nu au mai raspuns.

Nici eu nu m? a?tept s? r?spund? la cât sunt de rata?i, dar m?car am încercat.

Am putea face niste articole pentru TheHackerNews legat de asta. Dac? v? aduce?i aminte, cei de la Yahoo au introdus program de bug bounty dup? ce a ap?rut articolul ?sta: http://thehackernews.com/2013/10/Yahoo-bug-bounty-program-reward-vulnerability.html