Aplikacje internetowe

Bełdziowe spojrzenie na aplikacje internetowe

YouTube transmituje XSS

O YouTube

YouTube is a place for people to engage in new ways with video by sharing, commenting on, and viewing videos. YouTube originally started as a personal video sharing service, and has grown into an entertainment destination with people watching more than 70 million videos on the site daily.

Błędy

YouTube umożliwia nam pełnoekranowy podgląd każdego filmiku znajdującego się w ich zasobach. W jakiś tajemniczy sposób w adresie pełnoekranowego filmiku znalazła się zmienna odpowiedzialna za tytuł strony. Najdziwniejsze jest to, że nie jest ona filtrowana. Możemy jako tytuł strony wstawić cokolwiek chcemy w tym także tagi HTML.

Przykład

Utworzenie komentarza na końcu ma za zadanie zablokowanie wyświetlenia oryginalnego kodu.

Dodatkowo możemy tez spowodować wewnętrzny błąd serwera poprzez przekazanie do kilku skryptów błędnych danych:
Link
Link
Link

wynik skryptu:

500 Internal Server Error

Sorry, something went wrong. A team of highly trained monkeys has been dispatched to deal with this situation. In any case, please report this incident to customer service. Also, please include the following information in your error report: M77J7KsQZxP3ItslQKY1EMx_wedNkQ1kKYMvuC9cTKeHfa11cxdnU7IIujcq 2HIe6jHQlQe1DfRrUCpyxueYAmAx7yk0_-yj1n6kZks1khQUYN6l58C6RvBX FIHGjhiCLMZSqACBLc7kkS5-YTBeNyz2NarK8MkWvpWdhZqOQefbHv3_qd5r A_-0LD30muk9VMKkAJEqGYg-lOcpRrsBujdOZhgsIBZlkMaRU9NDF2jws4C- Rswoa3- dXrh91tM8UNLbg6Xgv-2DUkv_fnSdoA9pGKIP3Qppctuu_r4IilEx sfeE98mZoj3MpgshT9hQwkCL2CfRdAraKyxhlVa6G83IhuUbnjRtIg-58rig axbb3gt94EC9cjlMWE4LT9hzqXBOqUt46QOnvSc_WynUxBFTAbbZiDNhRy_u LfasgCcjRhdwbCICWquPrQ7QAOZHKDbRlWgvY4n89_tVH_90QQpAMEhFzlTi KbJHhjlpLjh8eexObVA8Om0DlE56zjvYIowknV7DxMvX7JBRBtIsWvyiBDcL - fg4MGPIanHN_Rl8wMAM_HNEOUWkg5EloKJWIm3b2M2_mEO2UZDXoAnzmRiu basCEODY0mi7bH_T3HUUDZrljtN7aO1K1gOtvQSmcqq7XWtwCfxEadg8uRwg ZCMZIEYBUqDXsKj1a981Qfxgd5nLB1nwrqYt4V4uhIBZGGlJXCm1P1lErfR_ LpZO2MM0nUyr7m4EJcr9tXOUc7YMbP4morqx18MaNrLsCs4_tv2CmkUELOAc ttOeJLeWAfsJOyOBGbCF15Cqsz4au8PeduQc7mMFIXe-Pn5ab_bCHO4lDbub xe8Cnntyor-1bAdTzjS4gXrRkP79P5KconWRt3gmFjhQlUc28OcchTucTP9C tUu1b- w3jFPLuVz4ENRbjSauwPErdtVBGorgrwQHMt8SY_nNMb6lngzJlf7J SoO52ZExrnx3-27zDI72ZinrwG0d1G8A1s5woBm8uJ5IVmY0py4oGxe36aPy BWBRzSyYRECvYFUh7YMYBtPSX4LWi21kblwtEeZZDO4GbFmTk8M86H2G1c_M C5YgkTIEwmPs

Odpowiedź

Trzeba pochwalić ludzi z YouTube. Jak na razie najszybciej odpowiedzieli na mojego maila, w którym ładnie podziękowali i zapewnili, że już zabierają się za poprawki. Jak można zauważyć XSS już jest nieskuteczny.

Pozostaje tylko życzyć innym adresatom moich maili, aby działali równie szybko.


Tagi: , ,
Kategoria: Bezpieczeństwo, BugTraq


3 komentarze

  1. 23e4r5tyjkjhgfdswqerty napisał(a):

    Hmm u mnie pod przekodowaniu tego textu base64 w error 500 wywoływany jest dzwiek z głosniczka systemowego fajne :D Jedynie działa z konsoli

  2. Dot napisał(a):

    Ciekawe. Nie sądziłem, że tak potężny serwis ma tak banalne błędy.

  3. Bełdzio napisał(a):

    @Dot mają, mają ;-) w końcu też ludzie je piszą :D Co jak co, ale YT trzeba pochwalić za szybkość reakcji czego nie widać w przypadku polskich serwisów.

Dodaj komentarz