La semana pasada nos dimos cuenta de que Apple.com nos había dado las gracias en su web por haberle notificado unas vulnerabilidades en su web que les envíamos, y nos hizo ilusion. Eso de aparecer referenciados en Apple.com nos llena de "orgullo y satisfacción".
Figura 1: Agradecimiento de Apple por el reporte
Inicialmente ibamos a escribir un artículo titulado La web de Apple necesita un repaso en nuestro blog de Seguridad Apple, pero decidimos cambiarlo por un artículo de Cómo reportar un fallo de seguridad a Apple y enviarles la información a ellos.
La verdad es que no pensabamos que nos fueran a contestar, y menos a dar las gracias públicamente por un par de XSS y un unos Path Disclosure, pero nos han sorprendido gratamente, al igual que otros nos sorprenden negativamente. Lo que le reportamos está aquí:
XSS bugs
http://evaluatemacs.apple.com/demo/index.cfm/log-in/index.cfm?display=login&returnURL="><script>alert(document.domain);</script>
Figura 2: XSS en Evaluatemacs.apple.com
http://consultants-locator.apple.com/index.php?fuseaction=home.directory&offset=0&rppg=8&q=sadsad%22%3E%3Cscript%3Ealert(document.domain);%3C/script%3E
Figura 3: XSS en Consultans-locator.apple.com
Errors with Path disclosure
http://consultants-locator.apple.com/index.php?fuseaction[]=home.directory&offset=0&rppg=8&q=sadsad%22%3E%3Cscript%3Ealert(document.domain);%3C/script%3E
Figura 4: Path disclosure en Consultants-locator.apple.com
http://evaluatemacs.apple.com/demo/index2.cfm
Figura 5: Path disclosure en Evaluatemacs.apple.com
Errors with software version disclousure
https://wdg2.apple.com/ssowebapp/null
Figura 6: SW disclosure en Wdg2.apple.com
http://bizwidget.apple.com/RetailBusinessWidget/faces/webform.jsp?LANG=CN'd
Figura 7: SW disclosure en bizwidget.apple.com
Le reportamos un par de cositas más, como que con los metadatos aparecían muchos servidores internos e información sensible si usabas FOCA y que tienen un servidor Buildbot abierto sin usuario ni contraseñas, pero eso no lo han atajado, así que suponemos que han preferido dejarlo así porque no es importante.
Aun así, la web de Apple sigue necesitando un repaso, como ya ha demostrado la caida sistemática de itunes.apple.com en ataques automatizados y el robo de datos por la operación AntiSec, pero el contacto con Apple ha sido mejor de lo que esperabamos. Si encuentras algo, repórtaselo, no te van a dar un iPad, pero tampoco te van a insultar.
Saludos Malignos!
Figura 1: Agradecimiento de Apple por el reporte
Inicialmente ibamos a escribir un artículo titulado La web de Apple necesita un repaso en nuestro blog de Seguridad Apple, pero decidimos cambiarlo por un artículo de Cómo reportar un fallo de seguridad a Apple y enviarles la información a ellos.
La verdad es que no pensabamos que nos fueran a contestar, y menos a dar las gracias públicamente por un par de XSS y un unos Path Disclosure, pero nos han sorprendido gratamente, al igual que otros nos sorprenden negativamente. Lo que le reportamos está aquí:
XSS bugs
http://evaluatemacs.apple.com/demo/index.cfm/log-in/index.cfm?display=login&returnURL="><script>alert(document.domain);</script>
Figura 2: XSS en Evaluatemacs.apple.com
http://consultants-locator.apple.com/index.php?fuseaction=home.directory&offset=0&rppg=8&q=sadsad%22%3E%3Cscript%3Ealert(document.domain);%3C/script%3E
Figura 3: XSS en Consultans-locator.apple.com
Errors with Path disclosure
http://consultants-locator.apple.com/index.php?fuseaction[]=home.directory&offset=0&rppg=8&q=sadsad%22%3E%3Cscript%3Ealert(document.domain);%3C/script%3E
Figura 4: Path disclosure en Consultants-locator.apple.com
http://evaluatemacs.apple.com/demo/index2.cfm
Figura 5: Path disclosure en Evaluatemacs.apple.com
Errors with software version disclousure
https://wdg2.apple.com/ssowebapp/null
Figura 6: SW disclosure en Wdg2.apple.com
http://bizwidget.apple.com/RetailBusinessWidget/faces/webform.jsp?LANG=CN'd
Figura 7: SW disclosure en bizwidget.apple.com
Le reportamos un par de cositas más, como que con los metadatos aparecían muchos servidores internos e información sensible si usabas FOCA y que tienen un servidor Buildbot abierto sin usuario ni contraseñas, pero eso no lo han atajado, así que suponemos que han preferido dejarlo así porque no es importante.
Aun así, la web de Apple sigue necesitando un repaso, como ya ha demostrado la caida sistemática de itunes.apple.com en ataques automatizados y el robo de datos por la operación AntiSec, pero el contacto con Apple ha sido mejor de lo que esperabamos. Si encuentras algo, repórtaselo, no te van a dar un iPad, pero tampoco te van a insultar.
Saludos Malignos!
Me legro por ello, no es fácil que te den las gracias cuando pìllas a alguien un fallo. ¿Están colgadas las presentaciones del IV Curso de Verano de Seguridad Informática? Muchísimas gracias!!
ResponderEliminarconfirmado que son elegantes, en todo
ResponderEliminarDeberían haber puesto un link cuando nombraron informatica64.com así por lo menos te dan un poco de page rank.
ResponderEliminar