(in)Seguridad en los acortadores de direcciones

Reflexiones públicas sobre seguridad de acortadores
Aunque ya hace tiempo que me vine fijando es esto, hoy quiero hacer una pequeña reflexión pública sobre los acortadores de URL y el arma de doble hilo que son.
Con la expansión de Twitter, el empleo de acortadores de URL es cada vez mayor, ya no sólo en el propio servicio del pajarito, sino en prácticamente todos los servicios web modernos. Por lo tanto, cuando alguien "cuelga" una URL corta, realmente nosotros lo que hacemos es consultar al "creador" de la misma para que nos haga una redirección a la URL de verdad. Por poner un ejemplo, el link http://goo.gl/kr0UO, creado con el acortador de Google lleva a éste blog, sin embargo eso es así por que yo os lo digo y vosotros os lo creéis. Si realmente lleva a otro lado, es algo que hasta después de pinchar en él, no lo podremos saber.
Hagamos ahora un pequeño parón y cambiemos de tema. En la actualidad es muy común ver fallos de programación en páginas web que permiten efectuar ataques XSS, SQL, BlindSQL, etc. Dependiendo del tipo de ataque, el resultado puede ser más o menos interesante y tener una repercusión u otra.
El ejemplo típico de ataque XSS es el efectuado sobre una página web de la que interesa obtener algunas credenciales. La forma más simple de hacerlo es descubrir la vulnerabilidad y hacer que las víctimas pinchen el enlace mal intencionado para llevarlas a la web falsa. Una vez ahí, únicamente habrá que esperar a que inicie sesión y las credenciales ya estarían comprometidas. Un XSS sobre la web un proveedor de mail (GMail, Hotmail, Yahoo!, etc.) sería, cuando menos una gran fuente de datos para los hackers.
Por lo tanto, cuando unimos acortadores de URL's y fallos de seguridad, podemos tener un problema. Fue sonado, si os acordáis, el XSS que se le hizo a la web del Gobierno de España y que se expandió como la pólvora por las redes sociales gracias a los acortadores de URL. El "churro" de URL que había que poner, si no fuera por los acortadores de URL sería cuando menos sospechoso para la mayoría de la gente. 
http://www.eu2010.es/en/resultadoBusqueda.html?query= < script > document.write('< i m g s rc="h t t p ://blog.tmcnet.com/blog/tom-keating/images/mr-bean. jpg" />') < / script >;&index=buscadorGeneral_en
Web Gobierno de España, eu2010
Sin embargo, si yo lo pongo más amigable, tal como "pincha aquí", seguimos teniendo el mismo problema, pero algo más camuflado. La ventaja, que antes de pinchar al pasar el ratón por encima, podemos observar la URL completa a la que lleva.
Ahora imaginémonos qué pasaría si el mismo link lo camuflamos con un acortador de URL's. Para el ejemplo vamos a emplear una URL con un pequeño fallo XSS, el cual vamos a explotar para que nos diga Hola! Nada peligroso ;-)
La URL real a comprobar es http://demo.testfire.net, mientras que la URL vulnerable es http://demo.testfire.net. Sí, la misma ;-)
Si os fijáis, cambia un poco el contenido del link colgado, así que si ahora pongo un Tweet con
Estrenamos nueva web. Visítala aquí
Puede ser que esto impida ya a mucha gente acceder al contenido, ya que realmente se está desplegando, sin embargo, para hacerlo más fuerte y potente, vamos a pasarlo por un acrotador de URL's (en este caso, bit.ly) y ahora ponemos,
Estrenamos nueva web. Visítala http://bit.ly/aACnrM
La URL que podemos ver es exactamente la misma, pero hasta que pinchas y salta el alert("Hola") no lo sabemos, quedando así demostrada la (in)seguridad de los acortadores de direcciones.


No hay comentarios :

Publicar un comentario

Formulario de contacto

Nombre

Correo electrónico *

Mensaje *

Últimos comentarios