PDA

Ver la versión completa : XSS en Spotify



LUK
07-04-2011, 10:13
Estas navidades pasadas se me ocurrió regalarle a mi hermana una cuenta Premium de Spotify (http://www.spotify.com/es/get-spotify/overview/). Mi idea era que pudiera usarla en el móvil con listas offline. Spotify lo tenía claro y había varios productos disponibles con suscripciones mensuales, semestrales, anuales y toda clase de combinaciones para adquirirlas como regalo.

Como uno tiene el sindrome de la comilla (http://www.facebook.com/group.php?gid=317012082898), que cada vez que ve un "file.php?id=1" prueba a meter una comilla para "ver que pasa" o si lees algo en la URL que luego se reproduce en la página, se prueba con un "script", pues encontré muy tontamente un XSS en la generación de la página de regalo.


http://2.bp.blogspot.com/-o0-cAcbgU7k/TZmzFbOPhXI/AAAAAAAAGK8/MsxQWZtjRKk/s320/spotify.jpg (http://2.bp.blogspot.com/-o0-cAcbgU7k/TZmzFbOPhXI/AAAAAAAAGK8/MsxQWZtjRKk/s1600/spotify.jpg)

El mismo día que lo detecté, les envié una notificación del fallo utilizando su formulario web (http://www.spotify.com/int/about/contact/contact-spotify-support/?contact). Generalmente no suelo notificar (y la realidad es que tampoco suelo buscar nada por ahí), porque al final no aporta demasiado y puede darte un disgusto, y más en este caso, que tampoco es crítico: no es almacenado, ni está dentro de la parte privada de la web.

Como me hizo gracia el asunto, puse un tweet con la url que contenía el fallo:
https://www.spotify.com/es/get-spotify/e-card/display/?code=ItsNotFree&template=default&sender_name=%3Cscript%3Ealert(%22oh%20hai%22)%3C/script%3ESpotify%20Admin&recipient_name=sbd&email_message=&sender_email=root@cert.org&recipient_email=contacto@securitybydefault.com&duration=69


http://3.bp.blogspot.com/-uPfMd1UQKYk/TZnCr7uuz2I/AAAAAAAAGLE/GUdzqsNP1hk/s320/twitter.jpg (http://3.bp.blogspot.com/-uPfMd1UQKYk/TZnCr7uuz2I/AAAAAAAAGLE/GUdzqsNP1hk/s1600/twitter.jpg)

Ahí quedo la cosa. No volví a saber de ellos, ni ellos de mí. Lo más destacable es que a mi hermana le gustó el regalo y aún de vez en cuando me comenta que está contenta con el servicio :-)

Pero el otro día me llegó un correo agradeciéndome el haberlo reportado. Tan solo 4 meses después y justo ahora, que están calentitos cuando les han insertado malware en su publicidad (http://news.netcraft.com/archives/2011/03/25/spotify-free-users-attacked-by-malware.html).



http://2.bp.blogspot.com/-l6HuiUwlwHM/TZnETsYYyPI/AAAAAAAAGLQ/IKYgjry9qBw/s320/xssspotify.jpg (http://2.bp.blogspot.com/-l6HuiUwlwHM/TZnETsYYyPI/AAAAAAAAGLQ/IKYgjry9qBw/s1600/xssspotify.jpg)

Año 2011, seguimos igual que cuando empezamos. La seguridad solo cuando ocurre algo y eso que ya deberían haber aprendido la lección en marzo del 2009, cuando tuvo un fallo mucho mayor (http://www.spotify.com/es/blog/archives/2009/03/04/spotify-security-notice/).

Me pregunto yo si será tan costoso tener una cuenta de correo electrónico donde se puedan lanzar notificaciones y priorizarlas frente a un formulario que tendrá 300 consultas al día.

Y me sigo preguntando si no se ejecutan ni tan si quiera herramientas automáticas de detección de vulnerabilidades antes de pasar algo a producción. ¡¡Qué las hay gratis!!




Publicado por Alejandro Ramos en http://www.securitybydefault.com/2011/04/xss-en-spotify.html