XSS bei Google - insgesamt $4600 für Schulen in Afrika

English version

Vor zwei Jahren startete Google sein Vulnerability Reward Program und bezahlt seitdem Findern sicherheitsrelevanter Fehler in seinen Web-Anwendungen Belohnungen. In Summe wurden bisher $704.909,50 (Stand Dez. 2012) ausbezahlt. Obwohl Google bei Spenden den eigentlichen Reward verdoppelt, wurden bisher lediglich $25.825 (Quelle S.42) an gemeinnützige Organisationen gespendet.

Letztes Jahr (Ethiopia gets a new school - thanks to a XSS in Google+) konnte ich, dank eines XSS Bugs auf Google+, eine Schule in Welkite/Äthiopien mit $2.600 unterstützen.

Ich möchte Dir […] sehr für Dein Engagement danken. Deine/Die Spende von Google hat einen gewaltigen Entwicklungschritt möglich gemacht.

Hendrik Kempfert aus Hamburg von socialwaydown.com hat 2010 bei seinem Sabbatical (Von Hamburg nach Capetown) die Schule in Welkite besucht und viele Leute vor Ort kennengelernt. Inzwischen ist er mit den Projektinitiatoren eng befreundet. Hendrik konnte mir dann auch berichten, dass die Spende einen großen Fortschritt bewirkt hat.

Keita Haga aus Japan – ebenfalls Teilnehmer des Bounty Programms – spendete $1000 an das gleiche Projekt, was mich sehr gefreut hat.

Persistentes XSS bei Veranstaltungen in Google+ und bei Panoramio

Im Dezember 2012 hat mich Google für ein XSS bei Google+ und bei Panoramio mit jeweils $500 belohnt. Bei dem XSS in Google+ handelte es sich um ein persistent XSS in den Veranstaltungen (Events). Fügt man einen existierenden Ort zu einem Event hinzu, wird in einem Tooltip die genaue Adresse des Ortes angezeigt. Wichtig dabei, der Ort muss bereits bei Google vorhanden sein.

alt
alt

Die Adresse wird beim Überfliegen mit der Maus in einem Tooltip angezeigt

Um die Adresse zu manipulieren, war es nötig, den entsprechenden POST Request zum Speichern des Events zu verändern. Am besten eignet sich dafür Burpsuite Pro oder ZAP Proxy vom OWASP Project.

Die Location selber wird durch eine ID festgelegt, der Name und die Adresse sind komplett veränderbar.

Nicht korrekt escaped war alles, was im Tooltip angezeigt wird. Es gab dann auch gleich sehr viele Snippets, auf denen das Event mit dem Tooltip angezeigt wurde, die dann auch entsprechend verwundbar waren.

Orte, an denen das XSS sichtbar war:

  • das Event teilen (dann steht es bei jedem Follower in der Timeline)
  • Benachrichtigung in der Notificationbar auf allen Google-Seiten mit der Menüleiste (document.domain für das iframe ist immer plus.google.com)
  • Benachrichtigungsmails im Gmail (ebenfalls als iframe)
  • auf der Event-Seite
    Theoretisch hätte man mit diesem Fehler einen XSS-Wurm für Google+ bauen können – allerdings wäre durch den Tooltip noch ein wenig Nutzerinteraktion notwendig. Google hat den Fehler trotzdem innerhalb weniger Stunden geschlossen.

Ich habe auf Betterplace zwei spannende Projekte gefunden, die ich mit jeweils $1000 (753 €) unterstützen möchte. Beide Projekte versuchen Kindern eine Zukunft mit Bildung zu ermöglichen. Grundvoraussetzung dafür sind Gebäude und eine Umgebung, die zum Lernen geeignet ist.

$ 1000 für einen Kindergarten in Tomegbé / Togo

Aus der Projektbeschreibung für den neuen Kindergarten:

"Kindergarten für Togo" ist ein Projekt, welches von agbe e.V. und dem togoischen Partner Asmerade ins Leben gerufen wurde. Die Initiative stammt direkt aus der Bevölkerung von Tomegbé, die bei der Durch- und Weiterführung sehr stark beteiligt ist. Der Bauplan hierzu wurde von einem togoischen Architekturbüro erstellt und die drei Kindergärtnerinnen werden aus der Gemeinde von Tomegbé stammen.
Der Kindergarten wird für 120 Kinder einen Platz garantieren können. Doch nicht nur die Kinder profitieren davon, auch deren Mütter und damit die gesamte Gemeinschaft. Die wirtschaftliche Situation im Land ist sehr schlecht, die Mütter sind überlastet und die mangelhafte Hygiene lässt viele Kinder nicht einmal das Grundschulalter erleben. Die Gemeinde von Tomegbé sieht das Fehlen des Kindergartens als Schlüsselproblem einer besseren Zukunft an. _

$ 1000 für eine Grundschule in Ilketunjo / Äthiopien

Aus der Projektbeschreibung von Betterplace:

Die Kooperative Ilketunjo hat zwei Schulen, wobei insbesondere die weiter entlegene Schule – die sogenannte „Satellite School“ – unsere Hilfe benötigt. Das Gebäude der Schule besteht aus bereits zerfallenden Lehmwänden und einem Lehmboden, sanitäre Anlagen fehlen komplett. Die mangelnde Schulausstattung mit Möbeln wie Tischen, Bänken und Stühlen macht es fast unmöglich die rund 1.000 Kinder der Umgebung zu unterrichten.
Diese Situation führt dazu, dass die Schüler nur sehr widerwillig in die Schule gehen und oft über mehrere Tage nicht am Unterricht teilnehmen. Für uns ist es nur schwer vorstellbar, aber so lernen viele Kinder nicht einmal Grundlegendes wie lesen und schreiben.”_

Betterplace die Crowdfunding Plattform für Hilfsprojekte

betterplace.org ist eine offene Spenden-Plattform im Internet. In Deutschland als gemeinnützig anerkannte Organisationen, aber auch andere Organisationen und Individualprojekte, können auf der Webseite um Geld-, Sach- oder Zeitspenden werben. Über betterplace.org wurden zwischen der Gründung 2007 und Ende April 2010 mehr als 2,5 Millionen Euro gespendet.

Ich würde mich freuen, wenn der eine oder andere auch seine Bug Bounty Rewards für eines der Projekte spendet.

security google
Nils Juenemann Author

Nils Juenemann

SRE Manager, Go Developer, Photographer, interested in Web application security. Working for Exaring AG.

You might enjoy:

Previous post News about Google's Vulnerability Reward Program
Next post Yahoo, please start with a Vulnerability Reward Program