Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon El registrador de dominios GoDaddy soluciona una grave vulnerabilidad CSRF que permitía el secuestro de sesiones en dominios




El conocido registrador de dominios GoDaddy arregló una vulnerabilidad (CSRF o XSRF, cross-site request forgery, por sus siglas en inglés) que podría haber permitido a un atacante cambiar la configuración del dominio de un sitio registrado con GoDaddy.






El fallo se reportó el sábado y fué parcheada en 48 horas, de acuerdo con el descubridor del bug Dylan Saccomanni, consultor de pruebas de penetración e investigador de seguridad de aplicaciones web en Nueva York.

"Esta vulnerabilidad radica en la configuración del dominio de GoDaddy (no en los ajustes de cuenta). Si se dirige a "dominios" cuando inicia sesión en GoDaddy, se le presentarán varias opciones y configuraciones que se pueden editar para el dominio específico que eligió", dijo Saccomanni. "Ahí es donde se encuentra el problema".


Dylan Saccomanni se dió cuenta que en GoDaddy, no había absolutamente ninguna cross-site protección falsificación de petición  en muchas acciones de administración de DNS de GoDaddy, que son las peticiones POST cambia de estado (sin token CSRF en cuerpo de la solicitud o las cabeceras, y no cumplimiento de de Referer o Content-Type). De hecho, puedes editarla servidores de nombres, cambiar de auto-renovación de los ajustes y editar el archivo de zona en su totalidad sin ninguna protección CSRF en el cuerpo de la petición o encabezados.

CSRF funciona cuando un usuario autenticado para una aplicación web o dominio es forzado por un atacante a hacer peticiones de cambio de estado, en este caso incluyendo las peticiones administrativas. El atacante, sin embargo, tendría que combinar esto con algún tipo de ingeniería social para engañar a la víctima y llevarla al sitio que hospeda el ataque.

"No sería difícil de explotarlo en absoluto", dijo Saccomanni. "El atacante tendría que hacer que su víctima llene un formulario de aspecto muy profesional (tal vez ni siquiera relacionado con GoDaddy en absoluto), y tiene que encontrar la manera de que  GoDaddy realice una configuración de dominio cambiando las peticiones mientras están conectados.

Ejemplo de petición NameServers:



POST /dcc50/Modals/DomainActions/NSManageWS.asmx/ValidateNameserver HTTP/1.1
Host: dcc.godaddy.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:34.0) Gecko/20100101 Firefox/34.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json; charset=utf-8
X-Requested-With: XMLHttpRequest
Content-Length: 175
Cookie: [REDACTED]
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache

{'request':'{"isall":false,"nsobjs":[{"ns":"foo.example.com","ips": [],"index":0,"add":1,"status":""}, {"ns":"bar.example.com","ips": [],"index":1,"add":1,"status":""}]}'

Disclosure Timeline

  • 01/17/15 – Initial discovery and attempt to reach GoDaddy security.
  • 01/18/15 – Further attempts to reach GoDaddy security, finally received word there was no timeline for a fix.
  • 01/19/15 – GoDaddy implemented CSRF protection for sensitive account actions.


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.