lunes, julio 11, 2011

Reportar un fallo a Apple

La semana pasada nos dimos cuenta de que Apple.com nos había dado las gracias en su web por haberle notificado unas vulnerabilidades en su web que les envíamos, y nos hizo ilusion. Eso de aparecer referenciados en Apple.com nos llena de "orgullo y satisfacción".


Figura 1: Agradecimiento de Apple por el reporte

Inicialmente ibamos a escribir un artículo titulado La web de Apple necesita un repaso en nuestro blog de Seguridad Apple, pero decidimos cambiarlo por un artículo de Cómo reportar un fallo de seguridad a Apple y enviarles la información a ellos.

La verdad es que no pensabamos que nos fueran a contestar, y menos a dar las gracias públicamente por un par de XSS y un unos Path Disclosure, pero nos han sorprendido gratamente, al igual que otros nos sorprenden negativamente. Lo que le reportamos está aquí:

XSS bugs

http://evaluatemacs.apple.com/demo/index.cfm/log-in/index.cfm?display=login&returnURL="><script>alert(document.domain);</script>


Figura 2: XSS en Evaluatemacs.apple.com

http://consultants-locator.apple.com/index.php?fuseaction=home.directory&offset=0&rppg=8&q=sadsad%22%3E%3Cscript%3Ealert(document.domain);%3C/script%3E


Figura 3: XSS en Consultans-locator.apple.com

Errors with Path disclosure

http://consultants-locator.apple.com/index.php?fuseaction[]=home.directory&offset=0&rppg=8&q=sadsad%22%3E%3Cscript%3Ealert(document.domain);%3C/script%3E


Figura 4: Path disclosure en Consultants-locator.apple.com

http://evaluatemacs.apple.com/demo/index2.cfm


Figura 5: Path disclosure en Evaluatemacs.apple.com

Errors with software version disclousure

https://wdg2.apple.com/ssowebapp/null


Figura 6: SW disclosure en Wdg2.apple.com

http://bizwidget.apple.com/RetailBusinessWidget/faces/webform.jsp?LANG=CN'd


Figura 7: SW disclosure en bizwidget.apple.com

Le reportamos un par de cositas más, como que con los metadatos aparecían muchos servidores internos e información sensible si usabas FOCA y que tienen un servidor Buildbot abierto sin usuario ni contraseñas, pero eso no lo han atajado, así que suponemos que han preferido dejarlo así porque no es importante.

Aun así, la web de Apple sigue necesitando un repaso, como ya ha demostrado la caida sistemática de itunes.apple.com en ataques automatizados y el robo de datos por la operación AntiSec, pero el contacto con Apple ha sido mejor de lo que esperabamos. Si encuentras algo, repórtaselo, no te van a dar un iPad, pero tampoco te van a insultar.

Saludos Malignos!

3 comentarios:

  1. Me legro por ello, no es fácil que te den las gracias cuando pìllas a alguien un fallo. ¿Están colgadas las presentaciones del IV Curso de Verano de Seguridad Informática? Muchísimas gracias!!

    ResponderEliminar
  2. confirmado que son elegantes, en todo

    ResponderEliminar
  3. Deberían haber puesto un link cuando nombraron informatica64.com así por lo menos te dan un poco de page rank.

    ResponderEliminar