🛰 NASA – Cross-site Scripting (XSS) – x100

Después de haber participado en el VDP del CGII, me motivé y decidí probar suerte con el VDP de la NASA, la agencia espacial de EEUU.

En este sentido, comencé a investigar de forma un poco incrédula, porque pensando en la NASA, el nivel de seguridad sería de alto perfil, pero no, sus sistemas son tan vulnerables como cualquier otro.

Acerca del VDP de la NASA

Todos los programas VDP funcionan diferente, desde lo que podríamos llamar “su cultura”, o sea, la forma en la que tratan o manipulan la información que reciben. No tienen leaderboard, no ofrecen recompensas, y el único incentivo hacia la comunidad de investigadores de seguridad, es la eventual posibilidad de participar en el proceso de investigación, algo extraño, considerando que los esfuerzos y recursos generalmente corren por cuenta de quien hace el reporte, sobre todo si no hay recompensas. La política del programa:

Cross-site Scripting (XSS) – x100

Entonces, ni siquiera fue necesario realizar procedimientos avanzados para la generación de payloads XSS, simplemente, un CVE, me permitió inyectar código JavaScript en casi 100 subdominios diferentes de la NASA, y como no tienen leaderboard, utilicé Open Bug Bounty como plataforma de registro, ya que el VDP de la NASA pide 90 días para disclosure, y Open Bug Bounty de forma automática se encarga de respetar esta práctica internacional para el disclosure de vulnerabilidades.

Corrección de Vulnerabilidades

Después de algunos días, la NASA comenzó a corregir las vulnerabilidades detectadas, y Open Bug Bounty realizó una verificación masiva, otorgándome el reconocimiento en curso:

 

Más XSS en la NASA

Como si fuera poco, tengo más vulnerabilidades XSS en diversos dominios de la NASA que aún no son reportados, y que no sé si por ahora, los publique en Open Bug Bounty. 🤣🤣

Conclusión

No hay que dejarse llevar por los renombres de las empresas u organizaciones y finalmente, atreverse creo, no convertirse en presa del síndrome del impostor.