Mari simak penjelasan dari seorang hacker yang mendapatkan reward dari google setelah menemukan BUG di Google Fusion Table :D
dengan teknik RPO (Relative Path Overwrite) di Google Fusion Table :D
Lalu apa itu RPO?
RPO (Relative Path Overwrite) adalah teknik serangan rumit yang dipublikasikan oleh Gareth Heyes pada tahun 2014 [1]. Pada intinya, serangan ini menggunakan URL yang dibuat (biasanya dengan PATH_INFO), untuk memaksa halaman Web target untuk memuat dirinya sebagai stylesheet, ketika berisi stylesheet jalur-relatif dan konten yang dapat dikontrol oleh penyerang.
dengan teknik RPO (Relative Path Overwrite) di Google Fusion Table :D
Lalu apa itu RPO?
RPO (Relative Path Overwrite) adalah teknik serangan rumit yang dipublikasikan oleh Gareth Heyes pada tahun 2014 [1]. Pada intinya, serangan ini menggunakan URL yang dibuat (biasanya dengan PATH_INFO), untuk memaksa halaman Web target untuk memuat dirinya sebagai stylesheet, ketika berisi stylesheet jalur-relatif dan konten yang dapat dikontrol oleh penyerang.
RPO in Google Fusion Table
Selama normalisasi URL, pola yang menunjukkan traversal direktori akan diurus. Ini termasuk dot-slash (./) dan dot-dot-slash (../). Sebagai contoh, foo /./ bar, foo / baz /../ bar dan foo / baz /% 2e% 2e / bar (titik-titik yang dikodekan) akan dinormalisasi ke foo / bar sebelum permintaan bahkan dikirim dari browser. Anda dapat mengarahkan kursor ke dua tautan berikut dan perhatikan bahwa tautan tersebut menunjuk ke URI yang sama di bilah status browser. https://exapmle.com/foo/%2e%2e/bar dan https://exapmle.com/bar. Perhatikan bahwa bagaimanapun juga tidak benar untuk foo /..% 2fbar (slash yang dikodekan) sejak ..% 2fbar dapat berupa namafile. https://exapmle.com/foo/..%2Fbar. Internet Explorer tidak mengejutkan melakukan hal-hal aneh lagi (untuk bersikap adil, Edge juga terpengaruh). Saat mengarahkan ke URL tempat jalur berisi URL yang dikodekan dot-dot-slash, permintaan yang dikirim ke server akan sedikit berbeda dari yang ditunjukkan bilah alamat.
Seharusnya dan seperti yang dijelaskan, ketika browser melihat http://example.com/foo/bar.jsp;/%2e%2e/%2e%2e/1337, permintaan ke http://example.com/1337 akan dikirim ke server, dan bilah alamat juga akan menampilkan http://example.com/1337. Namun, di Internet Explorer, bilah alamat akan tetap menampilkan http://example.com/1337, tetapi permintaan ke http://example.com/foo/bar.jsp;/%2e%2e/%2e%2e/ 1337 akan dikirim apa adanya. Perbedaan ini memungkinkan menampilkan halaman dengan jalur arbitrer, jika server mengabaikan trailing path (mis. Path paramater). Inilah bagian yang menyenangkan. File skrip eksternal dapat diimpor baik dalam URL absolut atau URL relatif. Ketika URL relatif digunakan, direktori file akan relatif terhadap jalur halaman pemuatan. Banyak situs web menggunakan jalur relatif dan tidak ada yang salah dengan itu. Bahkan, Google Fusion Table adalah salah satunya.
Satu-satunya yang salah di sini adalah parameter jalur diterima Google Fusion Table. Menavigasi ke https://www.google.com/fusiontables/DataSource dan https://www.google.com/fusiontables/DataSource;/foo/bar/%2e%2e/baz menunjukkan konten yang sama persis. Ini dikombinasikan dengan bug IE memberi kami kemampuan untuk memuat Google Fusion Table dengan jalur yang kami inginkan, dan karenanya jalur skrip yang diimpor. Jika ada cara untuk mengunggah file JavaScript di domain Google atau Open Redirect hadir, maka skrip jahat kami dapat diimpor. Untungnya, Google AMP adalah Redirector Terbuka berdasarkan desain. Mendelomasikan ke https://www.google.com/amp/example.com/path pada perangkat non-seluler akan dialihkan ke https://example.com/path. Sekarang, kita dapat memuat Google Fusion Table di https://www.google.com/amp/innerht.ml, lalu https://www.google.com/amp/innerht.ml/js/gvizchart_all_js.js akan diimpor , dengan destiniasi terakhir adalah https://innerht.ml/js/gvizchart_all_js.js.
Dan akhirnya hacker tersebut mendapatkan $6000 dari google, berikut informasi balasan dari google
Hi,
Thanks again for your report.
Very nice bug! We were able to convert this to full working XSS exploit in IE11. The panel has decided to issue reward a of $6000 total ($5000 for XSS vulnerability in www.google.com + $1000 bonus for cool bug and novel approach) and you should receive the normal reward information email soon.
Yang artinya kalau di terjemahkan, seperti ini
Hai,
Terima kasih sekali lagi atas laporan Anda.
Bug yang sangat bagus! Kami dapat mengonversi ini menjadi eksploitasi XSS yang berfungsi penuh di IE11. Panel telah memutuskan untuk mengeluarkan hadiah total $ 6000 ($ 5000 untuk kerentanan XSS di www.google.com + $ 1000 bonus untuk bug keren dan pendekatan baru) dan Anda akan menerima email hadiah normal segera.
berikut bukti screenshot nya
Google telah memperbaiki kelas bug ini dengan memindahkan banyak produk ke subdomain khusus dan menghapus dukungan untuk parameter jalur.
bagaimana menurut kalian? Komentar di bawah ya :D
mantap bukan? wkwkwk hacker tuh seperti ini
BUKAN YANG KERJAANNYA DDOS, SMA MAU HEK TIKTOK WKWKwkwkwk
Kalian tidak percaya? Lihat sendiri di website si attacker nya
Ok sekian gan :D