XSS en Google.com!

Dos vulnerabilidades XSS fueron identificadas en el sitio web Google.com,
que permite a un atacante suplantar a los miembros legítimos de los servicios de Google o montar un ataque de phishing.
Aunque Google use defensas contra el XSS, un ataque es posible, usando ¨UTF-7 encoded payloads¨.

Google's URL redireccion script
----------------------------------
El script (http://www.google.com/url?q=...) es usado normalmente para redireccionar el navegador desde el sitio de GOOGLE ,a otros sitios.Por ejemplo:
http://www.google.com/url?q=http://www.hackyashira.com

Cuándo en el parametro (Q) es introducida una escritura con formato ilegal

(El formato parece ser: http: //domain), una pagina "403 Forbidden",regresa al usuario, informando que la pregunta era ilegal.

El valor del parámetro con el error aparece en el HTML vuelto al usuario.

Cuando solicitamos algo como esto:

http://www.google.com/url?q=USER_INPUT

obtenemos como respuesta:
"403 Forbidden" "Your client does not have permission to get URL
/url?q=USER_INPUT from this server."

La respuesta del servidor ignora la codificación del charset, por ejemplo:
* Response headers: " Content - Type: text / html; charset = [ encoding ] ".

* Response body: "< meta http-equiv = " Content-Type" (...)
charset = [ encoding ]/ >".


Google's 404 NOT FOUND mechanism
------------------------------------------
Al solicitar una página que no existe en www.google.com, una pagina con la respuesta ¨404 NOT FOUND¨ se devuelve al usuario, con la trayectoria original solicitada.

Si solicitamos:
http://www.google.com/NOTFOUND
el siguiente texto aparece en la respuesta:¨"Not Found
The requested URL /NOTFOUND was not found on this server."

La respuesta del servidor ignora la codificación del charset, por ejemplo:
* Response headers: "Content-Type: text/html; charset=[encoding]".

* Response body: " < meta http - equiv = " Content - Type " (...)
charset = [ encoding ] / > ".


Vulnerabilidad XSS
---------------------
Mientras que los mecanismos ya mencionados ( (URL redirection script,
404 NOT FOUND) caracteres comunes del escape usados para XSS, por ejemplo < >(paréntesis triangulares) y apóstrofes, no puede dirigir
¨UTF-7 encoded payloads¨ peligrosas.
Por lo tanto, al enviar un payloads en un ataque de XSS, codificado en UTF-7, el payloads volverá con la respuesta sin ser alterado.

Para que el ataque tenga existo (script execution), el browser de las victimas debe permitir la carga de XSS como UTF-7.

IE:auto-seleccion de codificacion
------------------------------------
Si la ' codificación ' se fija en ' Auto-Select', y el Internet-Explorador encuentra la Secuencia UTF-7 en los primeros 4096 caracteres del cuerpo de la respuesta, fijará el charset que codifica a UTF-7 automáticamente.
Esta característica de seleccion de codificación automática permite montar
Ataques de UTF-7 XSS contra Google.COM.

Fuente:http://www.watchfire.com/

salu2