gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
XSS e panorama nacional ?
Contribuído por AsHeS em 07-02-07 10:15
do departamento Cross-Scripting
Portugal ncosta escreve "Viva, à um tempo a traz realizei alguns testes sobre xss em vários sites portugueses incluindo Bancos, ISP's, lojas etc... O resultado foi mau e realizei um pequeno documento que mostra os links e exemplos sobre o que pode ser feito. Podem ver o documento aqui .
Mais tarde voltei a fazer testes (isto passados 2 meses), e encontrei os mesmos problemas no mesmo banco, no entanto encontrei desta vez mais XSS bugs em outros bancos. O porque de eu estar a divulgar esta noticia e os links, é que ninguém fez nada, ninguem corrigiu os problemas e não responderam aos meus emails. NoO caso do bpi.pt, primeiro responderam e corrigiram já depois não responderam mais.
O caso Santander e Totta, fica o link mas eles são os únicos que corrigiram mesmo sem eu fornecer detalhes após enviar um mail a pedir o email correcto para onde enviar a info. Eles simplesmente desactivaram aquela parte do site (adesão online ao serviço), provavelmente devido à leitura dos logs do server.
No banco de portugal com sql injection em um dos links, pode-se ver no erro da página que existe um erro de sintax.
Na Caixa Gera de Depósitos após solicitado um mail correcto para reportar o assunto nunca ninguém me enviou nada.
Para terminar só um à parte, após contacto com o Banco de Portugal sobre a falha, fui contactado via telefone por um senhor que não me lembro o nome, que pensava que eu queria roubar dinheiro ???? "

Jogo open source ganha prêmio de Melhor Jogo Standalone | Proposta de trabalho  >

 

gildot Login
Login:

Password:

Referências
  • aqui
  • BPI
  • Santander
  • TOTTA
  • Banco de Portugal
  • CGD
  • Mais acerca Portugal
  • Também por AsHeS
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    wow (Pontos:1)
    por BugMeNot.com em 07-02-07 12:01 GMT (#1)
    (Utilizador Info)
    wow dude, XSS totally eXiStS !!one!

    Isto devia tar na secçao de emprego :P
    obrigatório. (Pontos:0, Despropositado)
    por gildot-fucker em 07-02-07 16:17 GMT (#2)
    (Utilizador Info)
    ó Costa... a vida costa!
    Sites institucionais? (Pontos:2)
    por Cyclops em 07-02-07 20:56 GMT (#3)
    (Utilizador Info)
    Tipicamente os sites institucionais de entidades bancárias não tocam em zonas importantes, estando relativamente isolados, logo problemas de segurança neles normalmente não passam de pequenos vexames.

    Contudo neste caso tem grande importância porque XSS é uma técnica evidentemente valiosa para phishing de dados interessantes como contas em homebankings :)

    Interessante é que estes sites são normalmente comprados por ingénuos em lugares de responsabilidade a empresas que sofrem de portalite aguda, e mesmo quando se exigem cuidados de segurança, como por exemplo filtrar INPUTS de dados, frequentemente vê-se coisas como "não vale a seguinte lista de caracteres" em vez da evidentemente melhor: "só vale esta lista de caracteres".

    Explicações plausíveis:
    • clara aposta em mão de obra de baixo custo
    • aliada a portalite aguda
    • aliada a ingénuos que acham que para um site minimamente decente e útil é necessária uma plataforma 100% original para cada site e que é sempre vendida como chave na mão


    O problema é que estes ingénuos repetem o mesmo erro ad nauseum, pelo que chamá-los de ingénuos é dar-lhes um crédito não merecido.
    Re:Sites institucionais? (Pontos:1)
    por bernie em 08-02-07 12:24 GMT (#4)
    (Utilizador Info)
    'ad nauseam'...
    erm (Pontos:1)
    por being em 08-02-07 14:33 GMT (#5)
    (Utilizador Info)

    Nao que seja muito importante o que vou dizer, mas convinha releres o que escreveste ( e' que ha' muitos erros de portugues): " Concertesa havera mais e mais sites nacionais como instituicoes e bancos que estao vulneraveis a esta falha."

    Concerteza (...)

    De qualquer maneira foi bom ler. Parabens. Gostei especialmente da mensagem do gajo da clix.

    Comecei uma dieta, cortei a bebida e comidas pesadas e, em catorze dias, perdi duas semanas. - Joe E. Lewis

    Re:erm (Pontos:2)
    por André Simões em 08-02-07 14:41 GMT (#6)
    (Utilizador Info) http://andre.catus.net
    Pois, eu hesitei em fazer o mesmo comentário, mas é realmente assustadora a quantidade de erros ortográficos e não só. Logo a abrir é um festival deles...

    ---
    Omnia aliena sunt: tempus tantum nostrum est. (Séneca)
    "Tudo nos é alheio: apenas o Tempo é nosso."

    Re:erm (Pontos:3, Esclarecedor)
    por André Simões em 08-02-07 14:43 GMT (#7)
    (Utilizador Info) http://andre.catus.net
    Já agora, não é nem "concerteza" nem "concertesa", mas sim "com certeza".

    ---
    Omnia aliena sunt: tempus tantum nostrum est. (Séneca)
    "Tudo nos é alheio: apenas o Tempo é nosso."

    Re:erm (Pontos:2)
    por jorgelaranjo em 08-02-07 14:47 GMT (#8)
    (Utilizador Info) http://flickr.com/photos/fueg0/
    E já agora a explicação

    Cumprimentos,
    Jorge Laranjo
    01100110 01110101 01100101 01100111 00110000
    Re:erm (Pontos:1)
    por being em 09-02-07 14:21 GMT (#14)
    (Utilizador Info)
    my bad :)

    Comecei uma dieta, cortei a bebida e comidas pesadas e, em catorze dias, perdi duas semanas. - Joe E. Lewis

    black or white - va cinzento (Pontos:1)
    por surrealiz3 em 08-02-07 18:53 GMT (#9)
    (Utilizador Info)
    Mas que? tavas numa de auditing ou assim do genero num sei qual foi o teu objectivo mas se foi meramente informativo acho que na te devias dar o trabalho ... estes espertos pagam rios de dinheiro a pessoal que faz mal o trabalho e ainda se riem dum tal que aponta os erros , isso que tu fizeste paga-se , apesar de na ter sido um trabalho muito extensivo . a melhor maneira se e que andas a procura de trabalho ou rendimento a fazer isso e trabalhares a fundo num auditing externo (penso ser legal ??? ) a rede do banco ou whatever que estejas interessado e depois apresentas um mailzito com as estatisticas o panorama geral mas nada especifico e apresentas a tua proposta , depois logo ves se eles estao dispostos a pagar sena1 man , deixo a tua consideração sempre lhes podes mostrar que afinal a questao de segurança pode ser importante ca na tuga (percebes??)...
    Re:black or white - va cinzento (Pontos:1)
    por francisg em 08-02-07 23:50 GMT (#11)
    (Utilizador Info)
    falando de coisas mais sérias que XSS, não é a primeira vez que fazem coisas dessas em portugal..

    deixo o link.

    esperam-se updates :o)

    PS: hi ApPLeE, long time.. ;p
    Já era tempo... (Pontos:0)
    por tonidosimpostos em 08-02-07 21:57 GMT (#10)
    (Utilizador Info)
    De os editores terem um bocadinho de trabalho e fazerem trabalho de edição das coisas... É que erros constantes de ortografia, dá uma lindo aspecto ao site (meio morto ou meio vivo, interessa ter as coisas com aspecto decente!).

    Quanto ao post, www.gnucitizen.org... Coisas bem mais interessantes no que toca a XSS e Javascript =)

    The flaw derives from Firefox's willingness to supply the username and password stored on one page on a domain to another page on a domain.

    Re:Já era tempo... (Pontos:1)
    por francisg em 08-02-07 23:53 GMT (#12)
    (Utilizador Info)
    *coff* xss shell *coff*
    Re:Já era tempo... (Pontos:2)
    por null em 09-02-07 11:15 GMT (#13)
    (Utilizador Info)
    "De os editores terem um bocadinho de trabalho e fazerem trabalho de edição das coisas... É que erros constantes de ortografia,dá uma lindo aspecto"

    Trimmm...

    Re:Já era tempo... (Pontos:0)
    por tonidosimpostos em 12-02-07 2:19 GMT (#16)
    (Utilizador Info)
    Se perdesses tempo a limpar essa tromba "linda" como perdes a apontar erros de dislexia, de certeza que terias uma tromba bem mais bonita ;)

    The flaw derives from Firefox's willingness to supply the username and password stored on one page on a domain to another page on a domain.
    Re:Já era tempo... (Pontos:2)
    por null em 12-02-07 13:42 GMT (#17)
    (Utilizador Info)
    Fala o roto do nú (e nunca a palavra roto foi tão bem empregue)
    Sim, ok.. (Pontos:1)
    por NeVErMinD em 10-02-07 20:23 GMT (#15)
    (Utilizador Info)
    E o utilizador comum ia carregar nesses links com javascript/whatever injectados apartir de onde? Da tua página pessoal?
    Re:Sim, ok.. (Pontos:2)
    por gass em 12-02-07 14:12 GMT (#18)
    (Utilizador Info) http://www.otiliamatos.ath.cx/~gass
    ah e tal ... olhando para os exemplos não é dificil criares tu uma página à tua maneira e depois spamares pessoal a dizer para consultarem essa pagina do banco em que necessitam de novos dados (como os dos cartões de crédito).
    Cumps-
    Gass
    Re:Sim, ok.. (Pontos:1)
    por NeVErMinD em 12-02-07 15:11 GMT (#19)
    (Utilizador Info)
    ah e tal, se é para enganar ppl que não olha a URLs, registo um dominio bancobpi.com faço um wget do site original (com as devidas alterações) e depois o spam, e não preciso de XSS para nada.

    XSS é perigoso quando o consegues colocar dentro do próprio site, conseguindo talvez fazer hijacking da sessão ou fazer um redireccionamento que passe mais despercebido. Tal com é apresentado não serve para nada.
    Re:Sim, ok.. (Pontos:2)
    por gass em 12-02-07 18:10 GMT (#20)
    (Utilizador Info) http://www.otiliamatos.ath.cx/~gass
    Mas tu achs que alguém que n perceba nada de html, XSS ... ou qq coisa a haver com programação acha esquisito seja aquilo que for no url?????
    Cumps-
    Gass
    Re:Sim, ok.. (Pontos:2)
    por gass em 12-02-07 18:17 GMT (#21)
    (Utilizador Info) http://www.otiliamatos.ath.cx/~gass
    Mas tu achs que alguém que n perceba nada de html, XSS ... ou qq coisa a haver com programação acha esquisito seja aquilo que for no url?????

    Aquilo que disse deverá ser apenas válido para o do bpi... visto que os restantes, pensoq que são dentro de sessões, excepto o da cgd, onde também podes colocar algo a pedir contas e passwords.

    é facil criares um link para a página do bpi com exactamente aquilo que lá está, mas a funcionar. (ou a pedir os dados e remeter o login mais para o fundo da página).

    Ficas com acesso à conta da pessoa em questão. Isto é uma falha de segurança GRAVE do banco.
    Cumps-
    Gass
    Deixa lá... (Pontos:1)
    por voxvirus em 17-02-07 15:03 GMT (#22)
    (Utilizador Info)
    Deixa lá ashes, não és o único a dar-se conta disso e sim, ser ignorado é comum.

    cumps()

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]