En este post os muestro como encontré un Cross Site Scripting (XSS) Reflejado en uno de los subdominios de “General Motors“.
Lo primero que hay que dejar claro es que una empresa que se encuentra afiliada a un programa de BugBounty (hackerone.com) por lo que su análisis está permitido, recordar que si no están afiliados a estos programas y les atacamos podemos meternos en un lio, además, hay que avisarles antes de realizar una publicación de dichas vulnerabilidades.
Otra cosa es que al pertenecer a estos programas hace que las posibilidades de encontrar algún tipo de vulnerabilidad sea muy baja.
Por eso, es recomendable intentar buscar dentro de sus subdominios para intentar ampliar las posibilidades de encontrar alguna vulnerabilidades que este dentro del Top 10 de OWASP:
En este caso, usé el script Sublist3r (https://github.com/aboul3la/Sublist3r) para listar los subdominios de gm.com.
Tras semanas de búsqueda, me centraré en el subdominio supply.eur.gm.com.
Este subdominio me llamó la atención por tener una apariencia de una web antigua.
Después de realizar una gran batería de pruebas (enumeración de usuarios, listado de directorios, SQLi…) me encontré con que no se hacia un correcto control de excepciones al forzar un error, es más, este error me mostraba todo el texto contenido en la URL.
Aprovechando este fallo, generé una inyección de código JavaScript al no filtrar correctamente los valores que se introducían en la URL.
Finalmente elaboré dos pruebas de concepto para enviárselas al programa BugBounty que tiene GM en la web https://www.hackerone.com/
[POC 1] Payload: <img%20src=a%20onerror=alert(«XSS»)>
[POC 2] Payload: <img onerror=javascript:window.location.replace(‘http:www.google.com’) src=»x»>
Estas vulnerabilidades del tipo XSS permite que un atacante pueda, por ejemplo, redireccionar un subdominio legitimo a una web clonada para lograr un ataque de Phishing.
Por desgracia la compensación por el trabajo realizado por parte de GM fue nula, muchas veces pasa.
