Limited Entropy Dot Com Not so random thoughts on security featured by Eloi Sanfèlix

15Jul/070

El otro día de casualidad me encontré con otro ejemplo más de lo que no se debe hacer en una aplicación web dentro de las páginas de la Universidad Politécnica de Valencia. Si en otro post hablaba de un problema de cookies y robo de sesión en la intranet de alumnos de la UPV, esta vez se trata de dos XSS en las páginas de la Oficina de Programas Internacionales de Intercambio (o algún nombre similar 😀 ).

Estaba yo mirando mis datos de la beca Erasmus cuando me tuve que ir a comer, y al volver me encuentro con que la sesión había expirado y la URL era del tipo error.asp?msg=mensaje , y el mensaje aparecía en el cuerpo de la página. Un claro ejemplo de XSS temporal si no se filtra adecuadamente el mensaje.

Además de éste, mirando las páginas de la opii que tenía en la barra de direcciones de mi firefox, me encontré con otra URL similar, pero esta vez metían el mensaje en un alert() de JavaScript y sólo era necesario cerrarlo con '); para salirse del alert y seguir añadiendo código JavaScript.

Les avisé y en un día tenía respuesta vía mail con un agradecimiento e informándome de que se habían corregido ambos fallos.

En fin, como decía antes, un ejemplo más de qué NO se debe hacer. Al menos esta vez fueron rápidos en corregirlo.

Filed under: Seguridad, Web No Comments

31Mar/070

Cookies: domain, path y seguridad

Posted by Eloi Sanfèlix

Ahora que ya lo han resuelto creo que es el momento de comentarlo por aquí. Hace más de un mes (concretamente el 17 de febrero) nos dimos cuenta por casualidad de un fallo en los servicios web de la UPV que podía suponer el acceso a la Intranet con otro usuario, con la consecuencia de poder ver su expediente académico, datos personales, webmail, préstamos en biblioteca... incluso número de cuenta si tenía domiciliado el pago de la matrícula.

Todo vino porque Bea me comentó que no podía acceder a la web del IEEE-sbUPV ya que le salía google. Entonces avisé al administrador de dicho servidor y estuvimos mirando qué pasaba. Llegamos a la conclusión de que se trataba de una cookie del PoliformaT, una aplicación de nuestra universidad, que hacía saltar las alarmas del mod_security y ejecutaba la acción por defecto: mandar al usuario a google. Y fue entonces cuando se encendió la bombilla: si esta cookie se manda aquí, es posible que se mande a todo el dominio upv.es, junto con los identificadores de sesión... y ello probablemente implique que se pueda robar dicha sesión.

Así que creé una pequeña página en PHP en mi página personal de la universidad ( por si alguien no lo sabe, se puede poner tu página en la carpeta www de tu unidad compartida W: y tener una web en http://personales.alumno.upv.es/nombre_usuario ) que simplemente mostraba las cookies, algo así:


<?php

print_r($_COOKIE);

?>
Con esto, se obtenía la variable TDp, e introduciéndola en la petición HTTP se podía acceder a la sesión de otro usuario utilizando por ejemplo paros proxy .  Nosotros lo probamos con una cuenta de alumno (la de Bea, con su consentimiento) y accedimos sin problemas... desconozco si como profesor se habría podido, pero supongo que funcionaría igual.
Y bien, ¿cual era el problema? Pues básicamente dos: que se mandaba la cookie a TODO el dominio *.upv.es y no a www.upv.es y la ruta específica donde se encuentra la aplicación de la intranet, y que para identificar la sesión se usaba única y exclusivamente dicha cookie.
Soluciones? Pues no mandar la cookie a todos sitios y/o utilizar algún dato más del usuario que deba permanecer invariable durante una sesión para identificarlo, por ejemplo la dirección IP.  La solución que ha tomado la UPV ha sido la segunda, y por ello no sé desde cuando está resuelto el problema ya que las cookies se siguen mandando y yo lo que he hecho durante este tiempo era mirar de vez en cuando si las cookies se mandaban o no. Ayer probé de nuevo durante una clase con un compañero (también con su consentimiento) y vimos que daba un error por haber cambiado de dirección IP.
Para la otra solución, supongo que todos los lenguajes de programación web permiten especificar fácilmente a qué dominio y ruta pertenece la cookie. Por ejemplo en PHP, la función setcookie lo permite especificar en sus parámetros y por defecto manda la cookie al dominio actual, con ruta el directorio actual.
Así pues, si programas aplicaciones web, y sobretodo si van a estar en hostings compartidos, deberías tener en cuenta esto que parece una tontería, pero puede permitir el secuestro de una sesión 😉


Filed under: Seguridad, Web
No Comments



Tag cloud
Android
book
bug
CA
ccc
collision
Crypto1
Cryptographic protocols
Cryptography
Crypto Series
dnie
evoting
ext3
Fault injection
forensics
General
hardware
hash
HTC Hero
IDA
md5
Mifare
mifare classic
personal
PFC
PKI
Protocols
Protocol Verification
reto hacking
reversing
rootedcon
RSA-CRT
Security
shmoocon 2008
smart cards
SSL
talks
teleco
TLS
uninformed
video
videos
wargame
Windows Vista
xbox360
				Recent Posts
		
											
					PlaidCTF 2013: drmless (binary 250) write-up
											April 26, 2013
									
											
					Insomni’hack 2013: Embedded security – the HW way
											March 23, 2013
									
											
					Fusion 04 exploit write-up
											March 13, 2013
									
											
					HW Security: fault injection techniques
											September 3, 2012
									
											
					Crypto Series: Differential Fault Analysis by examples
											August 25, 2012
									
					
		Recent Comments
joban on A story about Chinese, Bells and Injections : CPEU Wargame challenge
EfrainMejiasC on Smart cards: normas y comunicación con el terminal
Eloi Sanfèlix on Crypto Series: Discrete Logarithm
Chris on Crypto Series: Discrete Logarithm
What is gained by hashing the last block on-device? | XL-UAT on Understanding the DNIe, Part III: Hashing and signing
My tweets!
RT @daniel_rome: We have published some vulnerabilities we found during an internal @NCCGroupplc research. Further news will come soon, sta… 03:35:50 PM May 29, 2019 ReplyRetweetFavorite
@singe @bluefrostsec oops, thanks! 12:36:32 PM May 27, 2019 in reply to singe ReplyRetweetFavorite
RT @bluefrostsec: We just published the slides for the TEE presentation @esanfelix gave at #zer0con2019 and #infiltrate19, and kicking off… 11:38:13 AM May 27, 2019 ReplyRetweetFavorite
Made it to seoul for #zer0con2019, will be arriving at the venue in about an hour. Ping me if you're around and like to meet up. 09:03:28 AM April 10, 2019 ReplyRetweetFavorite
#protip: keep your webex window in sight so you can notice if your connection drops XD Despite that hiccup, and the… https://t.co/WuaWjPmQ1r 05:28:29 PM March 25, 2019 ReplyRetweetFavorite
RT @matalaz: Use whatever tool you want, I do use both IDA and Ghidra. But stop being a fucking dick and acting like it's holy war insultin… 12:00:49 PM March 22, 2019 ReplyRetweetFavorite
RT @bluefrostsec: BFS Ski Seminar in Seefeld and  Axamer Lizum! https://t.co/EzUvPhYyoL 03:39:17 PM March 20, 2019 ReplyRetweetFavorite
RT @doegox: "White-Box Cryptography: Don’t Forget About Grey-Box Attacks" in Journal of Cryptology ヽ(^o^)ノ
 Courtesy link: (requires js) ht… 11:12:08 PM February 14, 2019 ReplyRetweetFavorite
RT @Kachakil: If you liked the blog post I published about how I discovered and exploited a vulnerability in Android (https://t.co/SGtyFPQk… 12:56:07 PM February 05, 2019 ReplyRetweetFavorite
RT @jmartijnb: Interested to learn more about Trusted Execution Environment security? In a few weeks I will present @nullcon my work on fuz… 08:42:13 PM February 01, 2019 ReplyRetweetFavorite
@esanfelix
Meta
			
						Log in
			Entries RSS
			Comments RSS
			WordPress.org




Copyright © 2019 Limited Entropy Dot Com · Powered by WordPress 
Lightword Theme by Andrei Luca
Go to top ↑

Limited Entropy Dot Com Not so random thoughts on security featured by Eloi Sanfèlix

XSS en la web de la OPII

Posted by Eloi Sanfèlix

Cookies: domain, path y seguridad

Posted by Eloi Sanfèlix

Tag cloud

Recent Posts

Recent Comments

My tweets!

Meta