Pensando y meditando sobre los ataques XSS me puse a analizar si los acortadores URL que existen pueden utilizarse para hacer inyección de javascript. Una pregunta fue fundamental ¿Qué pasará si alguien con conocimiento sobre XSS quiere utilizar a alguno de sus contactos (msn, facebook, twitter, etc) para hacer un ataque XSS, tanto como para hacer un redireccionamiento web o algo por el estilo?. Fue entonces donde me puse a indagar sobre este temilla; usé una página vulnerable a ataques de Cross Site Scripting y no era nada más y nada menos que la muy reconocida Essalud. En el campo de Buscar, inyectamos un simple código html, donde colocaremos una marquesina que diga “HACKED BY CHOLOHACK”
Como verán, con el código HTML “<marquee>»HACKED BY CHOLOHACK»</marquee>” pude inyectar una marquesina pero sólo de forma local, de igual forma ya se inyectó en el código fuente y el explorador llegó a interpretarlo. Pero este no es el problema, sabemos que la página web es vulnerable a XSS, podemos hacer un secuestro de sesión o sino miremos el siguiente ejemplo:
– La víctima tiene un blog llamado http://blogdelavictima.com.
– El blog de la víctima usa cookies, por lo tanto, puede ser que la cuenta de administrador del blog de la víctima está activa.
– Cuando la víctima deja un comentario en el blog, se realizaría una petición así:
“http://blogdelavictima.com/comentario.php?nickname=administrador&comentario=comentario”
Si se le envía este URL con una trampita:
http://vulnerable.com/index.html#name=window.location=’<a href=»http://blogdelavictima.com/comentario.php?nick=administrador&comentario=Hacked_By_Yourself»>http://blogdelavictima.com/comentario.php?nick=administrador&comentario=Hacked_By_Yourself</a>
La víctima hace click ahi y el script inicia, el parámetro ‘window.location’ redirecciona al blog de la víctima y como la víctima tiene la cuenta de administrador activa, va a realizar el comentario, ya que posee los permisos para hacerlo. Muy simple 
.
Ahora, un simple usuario podría ver esta URL y tomar algún tipo de sospecha, un usuario que sepa de estas cosas ya sabe a lo que se mete y simplemente no hace nada, pero qué pasaría si esta URL está recortada, con estos grandes servicios de acortadores de links, usado principalmente para ‘tweets’.
Ahora lo que haremos será un ‘document.cookie’ a una página de Colombia muy conocida, vulnerable a Cross Site Scripting y veremos que un acortador de URL (sea bit.ly, goo.gl, fb.me, twitpwr.com, TinyURL.com) no harán nada al respecto.
Aplicaremos un código para detectar la cookie en nuestro navegador (“<script>alert(document.cookie)</script>”) y veremos que realmente el script se aplica con éxito.
Ahora, si usamos los servicios ‘URL Shorteners’ con el script XSS… podemos engañar a muchas personas camuflando la real página y la real intención. Estos scripts no son detectados por las páginas que dan este tipo de servicios (algo realmente preocupante) y no hacen nada para evitarlo. Supongamos que un usuario con malas intenciones realice el primer caso que hemos hablado y utilice esos acortadores, podrá realizar el engaño usando ingeniería social sin dificultades y con éxito total.
Mucho cuidado para este tipo de peligros, aconsejo que si tengan que abrir un link reducido, usarlo en otro navegador, es decir, si usar Internet Explorer, copia el link y cópialo en una ventana nueva de Mozilla Firefox, Google Chrome o cualquier otro. Para irme les daré 2 link acortados usados anteriormente en SeguridadBlanca.org, del canal 5 y de Tuentrada.com, no son defaces, son las mismas páginas con un poco de javascript, modificadas localmente:
24horas.com.pe: http://goo.gl/oyxR
Tuentrada.com.pe: http://goo.gl/1tbB
VIa: http://cholohack.com/2010/06/28/camuflando-xss-con-urls-shorteners/
