Mit ‘Hacking’ getaggte Beiträge

◾ „You can not fix the stupid! – Ron White

OR is a vuln
Als ich bei XSSposed gestern die Meldung zum „Open Redirect“ bei allen Google Domains weltweit einreichte,
da dachte ich noch, dass Google das wohl sicher bald beheben würde.
Nach meiner Anfrage beim Security-Team von Google teilte man mir mit es sei keine Sicherheitslücke!

Google redirected

Wenn ihr also demnächst auf euch zugesendete Google-Links wie diesen hier klickt (Google steht drauf und ZDNet ist drin ;-), dann schaut besser gaaanz
genau jeden einzelnen Parameter der u.U. Kilometer langen URL genau an. Denn genau das setzt Google offenbar voraus!

Da die meisten User gar keine Ahnung von php, html oder sonst was für Sprachen, oder gar Protokollen haben,
halte ich dieses Abschieben der Verantwortung für unhaltbar! Und ja, es gehört angeprangert!

Selbst OWASP listet „Open Redirect“ in seiner Top 10 der Risiken auf! Und auf der zugehörigen Seite heißt es
deutlich:

Open Redirect – This is a Vulnerability

Nun geht es mir nicht hauptsächlich um den Reward, den Google (auch für Sicherheitlücken die Google Suche
betreffend) auslobt, es geht um das Prinzip. Und aus Prinzip lasse ich mich nicht gerne mit einem Einzeiler
und „das ist keine Sicherheitslücke“ abfertigen. Eine US Regierungsstelle durfte schon schmerzhafte Erfahrungen
mit „Open Redirects“ machen. Das Thema ist also wirklich nicht neu….

Wie mir ging es aber schon anderen, wie hier in einem Artikel von ZDNet zu lesen ist (siehe auch hier).
Nichts ist schlimmer, als wenn ein Problem ignoriert, oder gar nahezu als Feature abgetan wird,
oder wie in diesem Fall, man offenbar keine Verantwortung dafür übernehmen will!

Den User auf unvalidierte Redirects laufen zu lassen ist eurer nicht würdig!

Nein, Google…so geht es nicht!

Sollte Google seine Meinung ändern und ggf. sogar ein paar Taler aus dem Rewardprogramm
locker machen, spende ich einen Teil davon an eine gemeinnützige Einrichtung, die Menschen
in Not unterstützt!

Wer sich für die Parameter in der Google URL interessiert kann hier einen guten Beitrag dazu finden:
weiterführender Link zum Thema Google-Suche

◾ „Stehe an der Spitze, um zu dienen, nicht, um zu herrschen! – Bernhard von Clairvaux

Nachdem ich über einen Beitrag zur Seite xssposed.org gestolpert bin und das Konzept absolut genial, wie auch einfach
fand, reihe ich mich nun seit heute in die  Liste der TOP IT-Secruity Researcher ein. Mein Ziel war es aufzuzeigen, dass
man relativ schnell sehr viele Lücken auf Webseiten finden kann.  Zunächst entwickelte ich die Software ForSeti, die
automatisch Lücken finden sollte. Schnell merkte ich aber, dass dies mit einer Software langsamer war, als selbst
händisch und mit dem richtigen „Riecher“ auf die Jagd zu gehen! ForSeti war also eine Fingerübung und wird vorerst
nicht weiter entwickelt.

Das gesteckte Ziel für XSSposed war nun, obwohl viele User dort einen gewaltigen Vorsprung hatten, die Nummer 1 unter
den TOP 50 Researchern oder sogar die Nummer 1 unter den TOP 50 VIP-Researchern zu werden. Mit Stand heute,
07.10.2014 23:50 Uhr, ist mir dies nun auch beides nach nur knapp 2 Wochen gelungen!

XSSposed Profile

XSSposed Profile

Um beim Eingangszitat zu bleiben: hier geht es nicht nur darum „erster“ zu sein, sondern darum, im Bereich der
IT-Security zu „dienen“ und das Netz ein Stück sicherer zu machen. Vor allem geht es aber darum die IT-Security-
Awareness in die Köpfe der Verantwortlichen zu bekommen! Manchmal eben auch mit drastischen Maßnahmen
und unkonventionellen eigenen Zielsetzungen, die zudem der Eigenmotivation dienen ;-)

XSSPosed-Tactic4l

XSSPosed-Tactic4l

 

Ziel der Aktion war auch den Unternehmen und Menschen, die diese verwundbaren Seiten administrieren, zu zeigen,
dass etwas unternommen werden muss! Ein ungewollter Redirect von Google, ohne jegliches zutun eines Anwenders,
der am PC nur auf einen Google-Link klickt, kann schlimme Folgen haben!

Leider bieten viele Firmen weder ein Bug-Bounty Programm an, noch honorieren Sie, dass in der Freizeit die „guten“
Hacker & Security-Freaks solche Lücken aufspüren und uneigennützig an die Unternehmen weiter kommunizieren.

Da kommt im Besten Fall ein „Ja, Danke“, oder „Das kann ja kein ernstes Problem sein…“ von vielen Unternehmen zurück.

XSSposed.org setzt genau dort an! Niemand möchte sich auf einer Seite mit seiner Domain gelistet sehen, auf der
offenkundig aufgezeigt wird, wie schlecht es um die Sicherheit auf der Seite steht und dass es den Betreibern offenbar
vollkommen egal ist, oder sie zu unfähig sind das zu beheben!

Mein Apell an Unternehmen die betroffen sind: „würdigt endlich mal die Arbeit die fremde Leute rein stecken, um euch
über EURE Fehler zu unterrichten, OHNE, dass die Presse oder eure Kunden etwas davon mitbekommen!

Safer-Web fix it!

Safer-Web fix it!

Bug Bounty Programme oder kleinere „Aufmerksamkeiten“ – im einfachsten Fall sogar nur ein „Dankesschreiben“
– würden den „freundlichen“ Hackern oft schon ausreichen. Es geht seitens der Unternehmen darum das Gesicht zu
wahren und niemanden wegen der Lücken zu beunruhigen. Die Security-Researcher wollen entweder oftmals
Aufmerksamkeit, oder schlichtweg Referenzen.

Die Alternative heißt ab heute XSSposed.org! The game is on you!

 

Video:

 

 

XSS-Lücke auf Liveleak.com

Veröffentlicht: 14. September 2014 in IT-Security
Schlagwörter:, , ,

„◾If there’s a leak out of my administration, I want to know who it is.“ – Karl Rove

Es geht in die zweite Runde! Nach Youporn und einiger Verbundseiten entdeckte ich gestern auf Liveleak.com eine Lücke die es ermöglicht eigenen Code einzuschleusen.
Im unten zu sehenden Video zeige ich kurz, wie die Cookie-Session-Daten und Redirect auf liveleak.com ausgeführt bzw. abgegriffen werden können.

Am unteren Bildschirmrand lassen wir einen kleinen Fake-Newsticker laufen, der dort ebenso nicht original hingehört ;-)
Ich hatte @liveleak via Twitter mehrfach auf ein Problem mit der Seite hingewiesen, bekam aber keine Antwort.
Zu beachten: funktioniert mit dem IE, jedoch nicht mit Firefox!

XSSed
Vielleicht reagiert man bei Liveleak nun? Bevor jemand Liveleak-Links verteilt in denen Schadcode (drive-by-download)
oder BeEF-Hooks verteilt werden?

You got „XSSed“! Told ya you are vuln! ;-)

 

Video: