Fabio Pietrosanti (naif) wrote:
Che le mie password non mi sognerei mai di salvarle su di un database
diverso dal file cifrato che tengo sul mio computer.
non ti credo, more info please
Esporre *tutte* le proprie credenziali di accesso a distanza di "una
password" non lo considero un rischio accettabile, sopratutto quando una
vulnerabilità potenziale semplice come un XSS le metterebbe a rischio di
disclosure.
ho dato un occhio al source, ci sono degli accorgimenti meritevoli ma
penso anche io che un browser non sia lo strumento adatto per gestire
informazioni a cui teniamo molto (cosa? succede gia'?)
ad ogni modo il payload di tale fantomatico xss dovrebbe fare qualcosa
di simile a
----
alert(document.domain);
function ohmy(searchClass) {
var classElements = new Array();
node = document;
tag = 'input';
var els = node.getElementsByTagName(tag);
var elsLen = els.length;
var pattern = new RegExp("(^|\\\\s)"+searchClass+"(\\\\s|$)");
for (i = 0, j = 0; i < elsLen; i++) {
if ( pattern.test(els[i].className) ) {
classElements[j] = els[i];
alert(els[i].value);
j++;
}
}
}
ohmy("scrambledField");
----
http://tinyurl.com/preview.php?num=2j54av (solo per facilitarvi il
copia/incolla, se lo cliccate verra' eseguito nel dominio sbagliato e
non funzionera')
aprite il link, clicco destro su "Proceed to this site", copy url
destination, aprite clipperz, incollate nella barra degli indirizzi,
fatto (testato con ff, se usate qualcosa di diverso tipo amaya potrebbe
non funzionare)
ora questo codice potrebbe finire dentro la same origin giusta in vari
modi
- un xss su clipperz.com reflected o stored che sia
- un xss sulla componente "clientside" su clipperz.com (dom xss)
- un xss sulla componente "clientside" su file:// nel caso si usi la
versione "scaricabile" (dom xss)
e fino a qui sarebbe responsabilita' di clipperz
- grazie a qualche vulnerabilita' client del browser
- grazie a qualche uxss di un plugin (vedi uxss sui pdf di Wisec)
- grazie a qualche xss dom o xul di un plugin
e sarebbe responsabilita' del vostro browser/estensioni/plugin ma anche
vostra nel caso in cui vi siate dimenticati di aggiornare
- tramite un xss di un'applicazione che gira su localhost se un
malaugurato giorno gli admin di clipper creassero un record A sfortunato
http://www.securityfocus.com/archive/1/486606
- tramite un xss dom di qualche documento che sta su file:// nel caso
della versione scaricabile
e le responsabilita' sarebbero miste
certo un xss e' una vulnerabilita' stupida e semplice da trovare anche
sui domini dei singoli account protetti da pass ma la same origin fa si
che si debba essere exploitati singolarmente su ogni dominio al posto
che una volta per tutti, a meno che ad essere compromesso non sia stato
il client
questo rimanendo nell'ambito dell'esecuzione di js "indesiderato" e
tralasciando tutti gli altri metodi (troiani, keylogger, whatever,
whenether)
riassumendo: per me ci sono troppi "se" e personalmente credo che contro
un attaccante remoto sono piu' sicuro con un bel file .txt in chiaro
nella home di un utente creato appositamente col giusto chmod
pero' il file txt non ha le features di clipperz e quindi penso che un
utente scelga clipperz per queste ultime piuttosto che la sicurezza
scusate se sono stato lungo ma non avevo proprio nulla di meglio
da fare : )
ciao,
Francesco `ascii` Ongaro
http://WWW.ush.it/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
