XSS на ICQ.com

Пятница, 17 августа 2012 г.
Рубрика: Новости
Просмотров: 822
Подписаться на комментарии по RSS
9/08/2012 появилась возможность привязки номера телефона к уину на странице icq.com/attach-phone. Днем позже на icq.com была найдена XSS уязвимость, причем активная. Уязвимым оказалось поле "Phone" на странице http://www.icq.com/people/UIN. Примечательно то, что на тот момент уже было невозможно вписать номер телефона прямо на странице редактирования профиля по адресу http://www.icq.com/people/UIN/edit, поэтому пришлось воспользоваться клиентом ICQ 7M. Через него в уязвимое поле прописывался скрипт "><script>alert()script>, выводящий алерт. При каждом переходе на свой профайл он успешно выводился, что подтверждало наличие уязвимости. Дальнейшая проверка на фильтрацию показала, что вводимые символы не фильтруются вовсе.

Следующим этапом была проверка на то, дает ли найденная XSS cookies. Введенный скрипт <script>alert(document.cookie) </script> успешно выводил алерт с cookies при переходе на профайл. Нужно заметить, что данная XSS отлично функционировала во всех браузерах.

Тем не менее, один факт все же оказался весьма омрачающим: номер телефона, указанный в профайле, не был виден другим пользователям. Для того, чтобы сделать его доступным глазу посторонних, требовалось взаимное добавление. Из этого следовало, что хищение cookies другого пользователя было возможным, но весьма проблемным мероприятием.

XSS уязвимость была протестирована на подопытном ICQ 10007 n3tw0rk'а, чьи cookies были успешно украдены товарищем Hydra через установленный сниффер. Однако кража cookies не позволяет получить полный контроль над ICQ номером - возможно лишь залогиниться в него на icq.com и изменить детали.

Сегодня утром было замечено, что найденная 10/08/2012 уязвимость больше не функционирует, но несмотря на это описанная выше информация является неплохой почвой для размышления на тему того, как разработчики ICQ заботятся о безопасности своих пользователей.

Обсуждение на форуме.