El XSS reflexivo lleva a $ 3,000 en Microsoft Forms Bug Bounty Rewards

El XSS reflexivo lleva a $ 3,000 en Microsoft Forms Bug Bounty Rewards

Vulnerabilidad en Microsoft Forms: Reflective Cross-Site Scripting (XSS)

En esta publicación de blog, analizaré los detalles de una vulnerabilidad de secuencias de comandos entre sitios (XSS) reflejada en Microsoft Forms.

Además, en mi última publicación de blog, filtré un informe de vulnerabilidad sobre Aplicaciones de energía de Microsoft e inmersos en los procesos de información. Puedes consultar mi publicación anterior en: Microsoft Bug Reports Lead Ranking en Microsoft MSRC Quarterly Rankings (Q3 2022) para obtener información más detallada sobre el proceso para informar y reclamar recompensas a través de la plataforma MSRC.

Formularios de Microsoft es una popular herramienta basada en la web para crear encuestas, cuestionarios y otros formularios. Permite a los usuarios crear formularios y encuestas, compartirlos con otros y recopilar respuestas en una ubicación centralizada. Sin embargo, hemos descubierto que es posible inyectar JavaScript malicioso en formularios, que pueden ser ejecutados por usuarios desprevenidos.

Seguí las pautas de MSRC para informar vulnerabilidades y envié mis hallazgos. Para obtener más información, consulte:

La vulnerabilidad radica en la forma Formularios de Microsoft procesa la entrada del usuario. Específicamente, no valida correctamente la entrada del usuario, lo que permite que un atacante inyecte JavaScript malicioso en el identificador configuración. Un atacante puede generar un enlace malicioso con XSS Payload inyectado, puede aprovechar esta vulnerabilidad para tomar el control de cuentas autenticadas o realizar acciones de cambio de estado con sesiones de usuarios autenticados en la aplicación, o incluso usar un dominio vulnerable para crear una página de phishing, etc. .

Producto vulnerable: Microsoft Forms

URL vulnerable: https://forms.office.com/pages/responsepage.aspx

Parámetro vulnerable: id

XSS reflexivo (secuencias de comandos entre sitios) es un tipo de vulnerabilidad web que permite a un atacante inyectar código malicioso en un sitio web, que luego es ejecutado por el navegador de la víctima. Ocurre cuando el sitio web incluye entradas de usuarios que no son de confianza en sus páginas sin la validación y codificación adecuadas. El atacante crea un enlace o formulario especial que, cuando la víctima hace clic o lo envía, hace que el navegador de la víctima ejecute el código malicioso. Se engaña al navegador de la víctima para que piense que el código es parte del sitio web, lo que permite al atacante robar información confidencial o realizar otras acciones maliciosas.

Para aprovechar esta vulnerabilidad, un atacante tendría que crear un enlace especialmente diseñado que contuviera el código JavaScript malicioso. Luego, el atacante tendría que engañar al usuario para que haga clic en el enlace, lo que provocaría la ejecución del código. Esto podría hacerse a través de tácticas de ingeniería social, como correos electrónicos de phishing o mensajería instantánea.

Prueba de concepto:

Aquí hay un ejemplo de prueba de concepto que demuestra la vulnerabilidad:

1. Navegue a la URL:

https://forms.office.com/Pages/ResponsePage.aspx

2. Carga útil XSS inyectada en id valor del parámetro y agregado a una URL vulnerable del paso 1.

Se utilizó la carga útil:

d1bvs%3c%2fscript%3e%3cscript%3ealert(`XSS`)%3c%2fscript%3ec579g

Ejemplo de enlace inyectado:

https://forms.office.com/pages/responsepage.aspx?id=d1bvs%3c%2fscript%3e%3cscript%3ealert(`XSS`)%3c%2fscript%3ec579g

3. Abra la URL en el paso 2.

4. Cuando los usuarios abran el enlace de inyección de XSS, la carga útil de XSS se activará y ejecutará como se muestra a continuación.

  • 27 de septiembre de 2022 — Vulnerabilidad descubierta e informada a través del portal MSRC.
  • 29 de septiembre de 2022 — Confirmó el equipo de MSRC. El ticket MSRC se ha movido a Revisar/Reproducir.
  • 4 de octubre de 2022 — Se ha otorgado una recompensa y el estado del caso MSRC ha cambiado de Revisar/reproducir a Desarrollar
  • 21 de octubre de 2022 — El estado de MSRC cambió a Prelanzamiento y Completado.
  • 22 de enero de 2023— Difusión pública del aviso de seguridad.

Agradezco sus comentarios y me encantaría escuchar sus pensamientos en mi blog. Si tiene algún comentario o sugerencia, no dude en ponerse en contacto conmigo en LinkedIn o Twitter.

LinkedIn: Supakiad S.

Gorjeo: (@Supakiad_Mee)

¡Gracias por su apoyo!

Si quieres conocer otros artículos parecidos a El XSS reflexivo lleva a $ 3,000 en Microsoft Forms Bug Bounty Rewards puedes visitar la categoría Tutoriales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

Esta página web utiliza cookies para analizar de forma anónima y estadística el uso que haces de la web, mejorar los contenidos y tu experiencia de navegación. Para más información accede a la Política de Cookies . Ver mas