0day XSS на Gmail.com
 

Всем привет только что писал троя, а обнаружил ХСС-ку на крупном почтовике!!!
Объясняю принцип действия подручными средствами, т.к не хочу полить, наверное уже сейчас мега червя.
1) Регим мыло допустим на tut.by, я сделал такое xacker@tut.by
2) Настроим перенаправление почты на другой адрес, т.е target@gmail.com
3) Берём клиента какого-нить почтовика, я брал The Bat!
4) Пишем новое письмо на адрес xacker@tut.by к которому присоединяем аттач
с именем XXXXXXXX.html c таким содержимым:
<script>alert('XSS found OneMiay');</script>
5) Отправляем.
6) Заходим на target@gmail.com и жмём Загрузить - видим


http://at.tut.by/bhm/scrin_01.JPG


Или если текст файла:
<script>alert(document.cookie);</script>


http://at.tut.by/bhm/scrin_1.JPG


Пускай ХСС-ка пассивная, но никто не мешает заменить имя файла и адрес отправителя. (RFC SMTP)

Автор не несёт никакой ответственности за предоставленную информацию, так как она изложена ради вашей же безопасности. Ответственность за неправомерное применения данной информации ложиться только на вас и карается УК РФ ст. 272

;) :) :D

OneMiay, молодец, дружок... Я, конечно, думаю, что эта уязвимость уже была найдена и эксплотируется, но всё равно - тебе похвала.

Незнаю... возможно она уже и эксплуатируется. Но теперь это паблик бага.

Интересно))) Определённо +

http://at.tut.by/bhm/scrin_1.JPG

Смотри на скрины! Куки видишь? :cool: Теоретически туда и фрейм можно вставить с каким-нить сплойтом или редирект на Ротатор. Вобщем вариантов уйма. Главная что ссесия через куки перехватывается.

Пускай ХСС-ка пассивная, но никто не мешает заменить имя файла и адрес отправителя. (RFC SMTP)

Inluck))) Чувак ты про силу xss незнаешь?)))
payk.org(spaiz.info) тоже думали что xss это не атака)), однако ...

Зря конешн выложил в паблик но молодец +

А чё зря-то?

Не обязательно замарачиваться с перенаправлениями, работает и так если отправить хтмл во вложении и целевой пользователь нажмет загрузить.

Да вложения со скриптами всегда прокатывают, тк почтовые фильтры не проверяют html на опасные теги (естественно кроме известных сигнатур скриптовых эксплойтов), это уже проблема юзера откроет вложение или нет.
Надо понимать что в данном случае ошибка гуглмаил в том, что он открывает вложения в том же домене что и веб интерфейс почты, следовательно мы можем получить куки, а соответственно и сессию целевого пользователя.
В отличии скажем от яндекса который открывает вложения в др. домене и никакие куки вам получить таким способом не удастся...

один фиг там привязка к ип

Честно говоря я тестил на яндексе и там поверь мне в другом домене все открывается и куки ты не достанешь! На маилру не тестил, так что про домен возможно прогнал.
А про маил ты сам написал, что палит любые скрипты, так что полюбому не обойдешь фильтрацию просто так, возможно домен при открытии тот же. Но куки ты все равно не достанешь скрипты режутся.
Вывод: все более менее известные, хоть как-то решали и решили данную проблему, на гмаил забили, возможно пока...
Так, что успокойся и перестань флудить в теме!!!

Тут дело всё в том что файл не обязательно обзывать как *.html можно как rar/zip/exe/jpg и т.д, и если он представлен в скрипте или хтмл-коде он чего-то исполняется, в то время как другие почтовики продпочитают сохранить его... Вобщем в этом и заключается бага.

ЗЫ: Ведущий специалист по безопасности переходит на работу в Google
Михал Залевски будет работать над устранением уязвимостей в интернет-проектах компании Google.
Новости 01 августа, 2007

http://www.securitylab.ru/news/300553.php