domingo, 10 de febrero de 2019

Utilizar un SVG para colar un XSS

Esto es algo que conocí ya hace 2 años y 3 días en un post de Una al Día de Hispasec y que he utilizado en todas las auditorías que hago de forma gratuita a pequeñas empresas que me garanticen que se van a cumplir los derechos humanos. Sobre esto hablaré otro día en otro post.


Esta técnica la utilizo siempre y suele ser bastante efectiva. Para ejemplificarlo voy a utilizar esta técnica en la web de Vox. Como sabréis, la 9deAnon ya hackeó la web de Vox.




Hoy vamos a analizar esta técnica para que veáis que no es excesivamente compleja. Simplemente requiere de insertar código HTML para crear una imagen SVG y añadir algún script malicioso.


Lo que hago ahí es añadir un triángulo rojo que, posteriormente, mostrará un mensaje de alerta tal y como observamos.


Triángulo insertado.


Pero claro, podemos hacer algo mucho más que mostrar un mensaje de este tipo, esto es simplemente para demostrar que existe la vulnerabilidad.


Normalmente, esto se hace con una redirección a una página maliciosa y, desde allí, infectar a los usuarios que visiten, en este caso, la web de Vox.


En este caso yo hago la redirección a este blog, pero, como he dicho, podría ser a una web con un php malicioso y un JavaScript que obtenga gran cantidad de información de los usuarios.


Esto lo podemos mejorar y automatizar, y es en lo que estoy trabajando ahora mismo y que espero que os pueda dejar en el blog próximamente.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...