Bypass de NoScript por $10.69

Mañana de domingo, pero antes de entrar en materia, procedamos a resolver unas preguntas para aclarar de qué trata este artículo:

¿Qué es NoScript?

– Wikipedia nos dice; -“NoScript es una extensión libre y de fuente abierta para Mozilla Firefox, SeaMonkey, Flock y navegadores web basados en Mozilla. NoScript bloquea la ejecución de Javascript, Java, Flash, Silverlight, y otros plugins y contenidos de scripts. Noscript tiene un lista blanca (whitelist) para permitir la ejecución de guiones informáticos de ciertos sitios.

Y su web nos dice también esto otro (adjunto captura con traducción cortesía de Chrome… };-P

Link: NoScript (inglés)

Captura: noscript.net.
Captura: noscript.net.

Bién, dicho lo cuál, ahora si.. al lío.

bypass - 5

Cuando instalamos el complemento NoScript por primera vez en nuestro navegador, se incluye una Lista Blanca con un montón de sitios CDN/populares, en los que se confía por defecto para ejecutar Java/Flash/JavaScript, incluso si NoScript se configura para prohibir los scripts globalmente.

Puedes comprobarlo directamente en la pestaña Lista Blanca en las opciones de NoScript:

Captura: NoScript White List.
Captura: NoScript White List.

La lista, a fecha de 1 de julio del 2015, es la siguiente:

bypass - 8

bypass - 11

¿Por qué tenemos por defecto que confiar en estos dominios?

El investigador Matthew Bryant (el que cursó esta investigación), se dio cuenta de que el dominio “zendcdn.net” llevaba un largo tiempo sin existir. Cualquiera podría haberlo comprado y ejecutar scripts sin que NoScript si quiera nos avisara, dándonos una falsa sensación de seguridad.

bypass - 12

bypass - 13

Matthew compró el dominio por $10.69, hizo una PoC y lo reportó a Giorgio Maone que enseguida lo sacó de la lista.

bypass - 14

El otro problema es que se confía no sólo en esos dominios, si no también en los subdominios correspondientes si no se precede la expresión “http(s)://”. Si cualquier servidor en estos dominios o subdominios tiene un XSS almacenado o cualquier otra vulnerabilidad, ejecutaremos el script malicioso a pesar de NoScript.

bypass - 15

La recomendación al instalar NoScript por primera vez es:

bypass - 16

1.- Eliminar todas las entradas que incluye por defecto la lista blanca.

2 .- Añadir siempre el prefijo “http(s)://”.

Hackplayers, Hacker blog & TonyHAT - logos

Anuncios

Un comentario en “Bypass de NoScript por $10.69”

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s