9gag.com – Account Take Over Vulnerability via Change Email XSRF

posted an persistent xss located in the first name field of the 9gag users’ a few years back during 2012. Simply edit the html of maxchar to bypass the char limit and insert in attacking  vectors.
Somehow the xss is now patched on late 2013.
However, the xsrf still works. If anyone can find an xss vulnerability then they could use that with xsrf to take over a user account by changing the main email.

Facebook Bug: Allowing html tags in Group Doc [TH]

ฟอม edit docของdocumentในกลุ่มมีบัค ซึ่งทำให้เราสามารถใช้html tagได้ (บัคแต่ในหน้าedit docเท่านั้น create docไม่ได้) ถ้าสังเกตุดูในหน้าedit/create doc มันจะมีแต่พวกbold,italics etc บัคทำให้เราสามารถใช้html elementsต่างๆได้เช่นhyperlink,<img>,etc เนื้องจากไม่มีปุ่มให้attach imageในgroup docและมันเวิกแค่ในedit doc ผมก็เลยแจ้งไป
แล้วก็ได้รับเมลนี้
Thank you for sending in this report. This does seem like odd behavior. I am forwarding it to the engineers so they can look into it further. We will let you know the outcome.
ผ่านไปหลายเดือนได้รับเมลตอบกลับ
I heard back from the engineers. They said the ability to add html elements to a doc is allowed and it isn’t considered a bug. We look forward to getting future reports from you.
ผมก็สงสัย ถ้ามันallowให้ใช้ทำไมมันไม่มีปุ่มhyperlink, embed imageหรืออะไรในหน้าedit group doc? ใครเขาจะรู้ว่าทำได้? ใครเขาจะมานั่งพิม <img src=”http://localhost/blah.jpg”>? อันนี้ไม่เท่าไร ก็มองว่ามันคงไม่สนใจบัคอะไนเล็กๆอย่างงี้ ผมก็เลยลองเช็คใหม่ดูใหม่ สรุปมันถูกแพชไปแล้ว!!! ที่งงคือบอกว่าไม่ใช้บัค แล้วจะแพชทำไม? -0- เงิบเลย
facebook4
facebook3
facebook2
https://www.facebook.com/groups/2600Thailand/permalink/227216377438398/

Facebook Embedding Flaw: Allowing users to embed swfs [TH]

Embedding Flash on Facebook
หลายๆคนน่าจะเคยลองโพสลิ้งyoutube,vimeoหรืออะไรต่างๆ จะพบว่าfacebookจะดึงข้อมูลจากหน้ายูทุปนั้น แล้วสร้างลิ้ง พร้อมรูปภาพและปุ่มPlayพอกดPlayคลิปก็จะรันผ่านvideo playerของยูทูป
facebookอนุญาตให้เราสามารถใช้og metadataมาระบุself-hosted objectsต่างๆ ซึ่งยูทูปก็น่าจะใช้เทคนิคนี้หรืออะไรประมารนี้ในการembed playerของยูทูปในfacebook (ไม่รู้ว่าเฟสบุคเขียนให้ยูทุปหรือยังไง)
เอาเป็นว่าเราสามารถใช้หลักการเดียวกันในการembed flashอะไรก็ได้ในเฟสบุค เช่นgame .swf etc มันจะดูเหมือนว่าเราโพสลิ้งวิดีโอ จะมีปุ่มplayให้เหมือนยูทูป แต่พอกดplayแถนที่จะไปรันวิดีโอจะทำการรันไฟล์flashของเราแถน (typeอื่นๆยังไม่ได้ลอง)
การใช้OG Metadata facebookบังคุบว่าต้องมี requirement 5อย่างนี้
og:type, og:url og:title, og:image,fb:app_id
อ่านเพิ่มเติมได้ที่
https://developers.facebook.com/docs/opengraph/

หลักการก็ไม่มีอะไรมาก สร้างเว็ปเพจลิ้งและทำการลิ้งโดเมนกับapp
สิ่งที่เราต้องทำก็คือหลอกว่าไฟล์เราเป็นvideoนั้นเอง
ปกติพอจะให้facebook ดึงvideo playerเรามาdisplayก็แค่ระบุประมารนี้
<meta property=”og:video” content=”http://localhost/?url=blah.mp4″>
อย่างที่บอกไปก่อนหน้านี้facebookอนุญาต ให้เราembed custom video playerเพื่อที่จะมารันvideo เลยallowให้เราใช้file typeให้เป็นflashได้ ซึ่งไม่กันอะไรเลย แถนที่จะใส่video playerเราก็ใส่ไฟล์flashของเราเข้าไปตามนี้
<meta property=”og:video” content=”https://dl.dropboxusercontent.com/u/206457679/boxhead2play.swf“>
<meta property=”og:video:type” content=”application/x-shockwave-flash”>
<meta property=”og:video:width” content=”800″>
<meta property=”og:video:height” content=”500″>
ทีนี้พอเราshare linkที่โฮสหน้านี้ เฟสบุคก็จะทำการdisplayเหมือนดูvideoธรรมดา พอกดplay flashเราก็จะถูกรันนั้นเอง

สำหรับใครสงสัยหลักการscrape dataของfacebookสามารถใช้toolตัวนี้ได้ในการเช็ค
https://developers.facebook.com/tools/debug
ตัวอย่างsource
http://pastebin.com/iz6mhx1B
Post from:
https://www.facebook.com/groups/2600Thailand/permalink/222781854548517/facebookgame

Post XSS on Adobe.com

This was reported on October 20 2012

The first response i received was:

Hi there Anakorn,
Thank you very much for the report and proof-of-concept file.  We are looking into it now, and will let you know if we have any questions. In the meantime, we ask that you do not publicly disclose this potential issue, in order to protect Adobe's customers.  This has been assigned the Adobe tracking number 1398.
 
We appreciate your discretion and cooperation. Please let us know if you have any questions.
 
Thank you again,
Tasha
Adobe Product Security Incident Response Team

I did not received any response after that from the adobe team. I rechecked it again recently and found out that the url no longer exists.
Vuln url:https://www.adobe.com/cfusion/mmform/index.cfm?name=edu_rfi&promoid=KAZIX

Simply insert an xss payload “><script>alert(1)</script> in the First name,last name textbox, etc

What is weird is that it seems like it is fixed now but i never received any more info about it from adobe.