Tuesday 25 April 2017

Delfi.t XSS saugumo spraga

Norėjau pasidalint atrasta delfi.lf XSS saugumo spraga kuri jau dabar yra istaisyta!

Izanga:

Netycia narsant po delfi.lt akis uzkliuvo uz vieno scripto:

http://www.delfi.lt/news/daily/lithuania/tragiskas-jauno-paneveziecio-likimas-lazdomis-uzmusto-vaikino-dede-atvere-sirdi.d?id=74458342

Panašu kad sis scriptas parsina locationa pabandykim irasyt custom location`a:

http://www.delfi.lt/news/daily/lithuania/index.php/cia/idomiau/ar/ne


Ok tad pabandykime sucraftint toki url kad mum pavyktu apeit visu major browseriu XSS filtrus:

After (3h):


http://www.delfi.lt/verslas/finansine-atsakomybe/index.php/test',],r=window,o=%7B0:'java%5Cscript:alert%5Cx28document%5Cx2Ecookie%5Cx29',v:'l%5Cocation'%7D,z=r[o['v']],['/d/',z['href']=o[0],'/r/r/


ir....

bam (Chrome):
IE:

XSS bypassinamas ant visur major browseriu:
Chrome
Firefox
Win 7 IE 11
Win 10 IE 11
WIn 10 edge 14


Problema gal nebutu rimta, bet kadangi del sitos spragos buvo imanoma bypassint visus browserio xss filtrus pavogti zmogaus prisijungusio prie delfi id  sesija butu paprasta (zinoma kai jis paspaustu ant kenkejiskos nuorodos)


Timeline`ai:

Spraga atrasta: 2017-03-10
Delfi.lt informuotas : 2017-03-14
Delfi.lt informuotas antra karta (nes pataisyta neubvo) 2017-04-25
Spraga istaisyta: 2017-04-25 11:15AM.
Posted by at No comments:

Thursday 2 June 2016

Small treat for AdBlock and 15min users

Išleidau nauja update`a (1.0.25) : nemes liūdnų autorių monologų.

P.s. skatinu nusipirkt 15min subscriptioną. Naršymas telefone - delightful :)
Posted by at 1 comment:

Friday 25 March 2016

Kai pats sau šauni i koją

Delfi ejimas: padare redirectionu loopa iskiepo vartotojams , guess what: Delfi pries Delfi inicijavo primityvu DDOS, tad speju pamate savo serverloada pakeite koda atgal , iskiepas veikia atnaujinimu nereikia!:) whew, maziau darbo man.

Zmoniu kalba: delfi idiege koda kuris zmones nukreipia i pagrindini puslapi, bet kadangi nukreipinedavo kas 1 sekunde, duomenu srautas i ir is ju serveriu isaugo daugekeriopai.

Bet fuck me kokia pamokanti istorija..
Posted by at 7 comments:

Didysis penktadienis

Su sventom velykom, says everyone except delfi. Zodziu empire stirkes back, galvojau jau patcho neiseis isleist pries savaitgali, bet pasirode nesunkus fixas, tad per telefona pavyko pataisyt. Versija 1.0.13 isleista. Bus live bet kuriu metu
Posted by at No comments:

Pirmosios dienos

Kadangi karas su delfi darosi juokingas, nusprendziau aprasyneti ivykiu chronologija.

Pirma diena (03-24):


  1. 8-11h :  Paleistas projektas, ramu.
  2. 12-13h: Pirmas delfi patchas - pretty simple, su CSS pradėjo slept "Pridėti" mygtuka.
  3. Pirmas "Keisk antraste" patchas - keičiam tag name input->button, releasinam.
  4. 14-15h: Antras delfi patchas, - itrauke button i css rulse`a.
  5.  Antras "Keisk antraste" patchas-  Ok, kuriam a taga, trinam lauk viska kas gali leist pagaut taga, releasinam.
  6. 16-17h: Trecias delfi pathcas - užsuka JS intervalini scripta, kuris kas 0.1 sekundes keičia ,article-div i originalu.
  7.  Trecias "Keisk antraste" patchas - ok, užtrukom, apėjom, releasinam.
  8. 22-23h: Ketvirtas delfi patchas - uždeda mutationObserveri ant tam tikru elementu, jei jie buvo pakeisti runtime`o metu redirectina extensiono uzerius i homepage. Cia verta pastebeti sita eilute: atob("LmRlbGZpLWFydGljbGUtdGl0bGUsIC5ncnluYXMtYXJ0aWNsZS10aXRsZQ==") wow much l33t very h4x0r
  9. Ketvirtas "Keisk antraste patchas" : pasukam galva, sumastom, patchinam , releasinam.


Atntra diena (03-25):


  1. 10-11h: Penktas delfi patchas: Panasi technika kaip kad ketvirtam patche.
  2.  Ok, patchinam, releasinam.


Išvados: 

na ispradziu tai atrode kaip zaidimas, bet kai pradejo cheapshotinti su useriu redirectinimu i homepage, kazkaip neskanu pasidare. Anyways labai idomu kiek toli tai eis.
Posted by at 5 comments:
Subscribe to: Posts (Atom)