Very short version in english:

You can see the results of a 2 weeks xss attack using a social network. The attacker used a permanent xss in hi5.com profiles to hide a Yahoo cookie stealer. Anyone logged in yahoo web services who visited the affected profile was affected by the “evil” iframe.

Both vulns are patched now, but the clip is still very interesting.

Inca de la inceputul blogului am incercat sa explicam cat de periculoase pot fi vulnerabilitatile in retelele sociale. Foarte multi nu pricep ca vulnerabilitatile xss pot fi o metoda eficienta de a capata date confidentiale intr-un mod elegant si greu de detectat, iar cand retelele sociale mari permit injectarea scripturilor mii de persoane pot fi afectate fara a avea macar idee ca cineva le-a spart conturile de mail, bancare, sau conturile din orice alt serviciu online afectat de o vulnerabilitate xss.

Ideea acestui articol mi-a venit datorita urmatorului comentariu aflat aici

Daca ar fi atat de ineficient nu am vorbi despre asta. Cand vorbim de xss permanent situatia se schimba. Nu doar acel site poate fi afectat, ci orice alt site vulnerabil la cross site scripting  si orice vizitator ce foloseste un browser cu javascript activat. Adica 99% dintre utilizatorii de internet.

Asa ca am intrebat in stanga si in dreapta, am cerut ajutorul “baietilor rai” si in final am reusit sa fac rost de ceva interesant.

In urmatorul clip o sa vedeti cate conturi de Yahoo! au fost afectate datorita unor simple si “neinteresante” xss-uri. Unul permanent in hi5.com care permitea introducerea unui iframe in profile iar al doilea aflat intr-un subdomeniu Yahoo!. Totul s-a petrecut in Aprilie 2008 si ce veti vedea in clip sunt rezultatele capatate in 2 saptamani. Cei afectati au fost doar simpli vizitatori hi5 ce navigau pe site in timp ce erau logati pe mail si care au accesat pagina de profil ce continea iframe catre un cookie stealer de Yahoo. Imaginati-va cati ar mai fi fost afectati daca se dadea spam cu profilul respectiv sau daca se implementa un xss worm ce injecta automat acel iframe in toate profilele celor afectati.

Pentru cei care nu inteleg despre ce e vorba, acele date din clip reprezinta conturile de Yahoo la care s-a capatat acces.

Vulnerabilitatea respectiva din hi5 nu mai exista.

P.S. – din acest motiv tot atrag atentia baietilor de la eok.ro sa filtreze javascript. Nu ma ajuta la nimic un serviciu legal de muzica daca intru pe site-ul lor si raman fara conturi, nu-i asa? Promit ca voi fi fair-play iar atunci cand nu voi mai gasi niciun xss in site-ul lor o sa fac un articol in care sa anunt asta.

Related Posts

• January 25, 2009 -- Rude.com CSRF
• November 24, 2009 -- Rezultatele poll-ului despre Hi5
• June 24, 2009 -- Despre CSRF, hi5.com, cum sa trisezi la concursuri s.a.m.d.
• February 11, 2009 -- Simona Sensual si profilul ei de hi5
• February 1, 2009 -- Ce nu se invata la scoala – Tipuri si tehnici spam/Hi5 (4)