Muy buenas,
Vamos a ver si con lo que he podido hacer en mi tiempo libre y con lo que hayáis visto vosotros, podemos explotar esta vulnerabilidad.
He utilizado BURP para poder determinar qué variables son las indispensables para poder cambiar la firma (utilizando la funcionalidad repeater), y ellas serían:
- signature
- sa
- userID
- sc --> (Esta variable, en principio, se generaría en base a la sesión iniciada por el usuario, con lo que sería propia por cada sesión de usuario)...corregidme si me equivoco.
A parte de la cookie, pero en principio, la cookie no sería un problema para nosotros, considerando que ya habría sido generada (previa autenticación) cuando la "víctima" siga el link malicioso que le enviaremos.
Ahora bien, he utilizado la herramienta CSRFTool de OWASP para poder generar un documento html con las variables de interés y hacer las pruebas con otro perfil que me he creado.
Según indica el gran WHK, "hará click sobre enlaces enviados a su correo", lo que me hace asumir que podríamos generar un "report type" del tipo link, utilizando la herramienta CSRFTool.
Una vez generado dicho "report type" con las variables de interés, y modificando las variables userID & Signature (con los valores que nos interesen), guardamos los cambios y deberíamos ser capaces de enviar dicho link a la víctima.
Por alguna razón al hacer pasar por una víctima, tras autenticarme y seguir el link malicioso, recibo un mensaje de error del foro indicando que el usuario no se encuentra...
Seguiré pensando qué puede estar ocurriendo...
Espero que, con lo que he hecho y analizado hasta ahora, sirva de ayuda para algunos.
Estaré de igual forma pendiente de lo que podáis aconsejar...
Un saludo y happy hunting.