Cross-Site Scripting en sitio VeriSign Chile (E-Sign)

E-Sign (cl) corresponde a los representantes y/o partners de VeriSign, una reconocida marca de seguridad informática a nivel mundial y como tal, ofrecen servicios de seguridad informatica, certificados de seguridad, auditorias, etc.
La empresa E-Sign ofrece el servicio de Anti Phishing y Consultoría de Seguridad, entre otros. Sin embargo, el sitio web de dicha empresa es vulnerable a Cross-Site Scripting y mediante esto, podemos hacer phishing usando la “credibilidad” de su certificado SSL.

La idea de un sitio con certificado SSL es que toda la información viaje cifrada, pero la gente de E-Sign al parecer no piensan eso. Al menos dos formularios del sitio envían la información sin cifrar, entonces ¿Para qué usan el certificado SSL?

Quizá no es tan crítico, ya que se trata del formulario de contacto y el buscador, pero ya que ellos obligan al usuario a confiar de ellos aun cuando los formularios no se envian de forma segura, nosotros aprovecharemos de generar otro tipo de trafico de manera insegura, por ejemplo insertando un formulario falso o un sitio externo mediante XSS.

¿A qué me refiero con esto? Sencillo, cuando estás navegando en un sitio seguro y en él, existe información que viaja de manera no-segura (sin cifrar), el navegador nos alerta y nos pregunta si queremos continuar.

En cierta forma, E-Sign está obligando al usuario a confiar en ellos y para proceder, el usuario tendrá que poner aceptar. Si ellos lo hacen, ¿por qué nosotros no?

Nos aprovechamos de una vulnerabilidad XSS que presentan algunos links, por ejemplo link de “Contacto”:

https://www.e-sign.cl/contacto.php?prefilla=%22%3E%3Cscript%3Ealert%28%27xss%27%29%3C/script%3E

Mediante XSS podriamos perfectamente modificar el formulario, agregar y quitar campos y redireccionar la informción hacia otro sitio o bien colocar un iframe externo que nos permita insertar un formulario arbitrario para capturar información que necesitamos.

Con un poco de ingenieria social y un poco del arte del engaño, seguramente podemos explotar aun mas esta vulnerabilidad. Muchas veces la vulnerabilidad va más alla de si misma, depende mucho del sitio sobre el cual se intenta explotar, en este caso, es mucho mas grave que en el caso del post anterior.

Lo que encuentro más problematico, es que una empresa de seguridad, quienes ofrecen un servicio Anti Phishing, tengan este tipo de vulnerabilidades, le resta demasiada credibilidad a la empresa, lamentablemente las personas que contratan estos servicios generalmente no saben mucho del tema y creen que estaran en buenas manos y muchas veces estan cometiendo un error entregando su seguridad a las personas equivocadas.

Como de costumbre, intenté contactarme con los encargados mediante el formulario de contacto del sitio pero no he obtenido ningun tipo de respuesta.

ACTUALIZACIóN – 3/Mayo/2010: La empresa se ha contactado conmigo via email. Más información acá.

11 comentarios

  1. jajaja es genial leer estas cosas. Creo que VeriSign debería prestar más atención a sus partners, esto es algo muy grave…

  2. Excelente página compañero.
    Esto me ayudará a ser mas cuidadoso donde me meto.

  3. creo que conozco al ebrio que hizo esa web xD!

    y algunos banners los hice yo cuando aprendia a usar inkscape y otros.

    xD!

  4. Jojo, veo que el autor no sabe lo que es un XSS. Un post sobre HTTP hacia google y saleforce = XSS? Wrong! 😛

  5. Wow! un link hacia http://www.google.cl sin httpS! Dramatico!

    Edit: http://www.google.cl no tiene SSL wtf!

  6. Emilio y Cristian: Los invito a que lean el articulo

    saludos!

  7. Tienes razón con lo del xss…pero, también recordemos que no por nada es tan reconocida VeriSign…quizás lo que tu viste puede ser manejado de otra forma. Aunque también como dicen: “También los sabios se equivocan”.

    Para mí que han de manejar las cosas de otra manera y son capaces de identificar el xss sin necesidad de hacerlo de manera evidente.

  8. Zerial

    mayo 3, 2010 a las 2:50 pm

    Hola Omar,

    como aclaracion a lo que comentas, se trata de “E-Sign” que es una empresa chilena (creo) que es partner de VeriSign, no se trata de VeriSign en sí.

    saludos!

  9. @Zerial, Ohh gracias por la información, no tenía eso por sabido.

  10. Es lo que pasa cuando es una empresa grande, deja de ser confiable.
    Lamentablemente si tuviera que elegir a uno creo que no elegiria a ninguno.

  11. alert(‘probando’)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.