En el blog de Eleven Paths se han publicado dos formas distintas de saltarse el filro AntiXSS que implementa WebKit y que actualmente afectan a Apple Safari. La primera de ellas, que está solucionada en el proyecto Chromium pero aún ha sido implementada en Apple Safari, fue descubierto por nuestro compañero Ioseba Palop, del equipo que desarrollo el servicio de pentesting persistente Faast.
 |
| Figura 1: Código de web con iframe vulnerable a este ataque |
Dicho fallo se encuentra en la implementación que hace Webkit de la etiqueta IFRAME, que en HTML5 permite el uso de srcdoc, con lo que una inyección en un iFRAME permtiría inyectar el atributo srcdoc con un campo SCRIPT que no es sanitizado por AntiXSS en la versión actual de Apple Safari, dando lugar a lo que se ve a continuación.
 |
| Figura 2: Se inyecta una cadena del tipo "srcdoc="<script>alert('XSS')</script> |
El segundo de los fallos fue publicado por un investigador chino que aprovecha una inyección dentro de un bloque de código SCRIPT. En ese caso, inyecta solo la etiqueta de apertura y se aprovecha de la etiqueta de cierre que ha puesto el programador en la web.
 |
| Figura 3: Ejemplo de código vulnerable y explotación |
El resultado es lo que se puede ver a continuación, basta con inyectar una cadena con la etiqueta de apertura en una web vulnerable y se obtiene la ejecución del SCRIPT.
 |
| Figura 4: Ejecución del script en Apple Safari última versión en OS X Mavericks |
Esperemos que Apple Safari actualice su motor con las últimas versiones del filtro AntiXSS y soluciones estos dos bugs que abren la puerta a los ataques client-side, ya sean phishing y/o hijacking.
No hay comentarios:
Publicar un comentario