存储型Xss成因及挖掘方法.pptx

存储型XSS的成因及挖掘方法,USERID:Gainover(g_)GROUP:PKAVGroup,2012-7-28,|www.wooyun.org,|,什么是XSS攻击？,攻击者,注入恶意代码,查看他人资料查看一篇日志查看一条留言查看一个评论查看一个问题查看一个答案点开一个链接点开一个邮件,恶意代码执行,受害者,XSS模型,当受害者变为攻击者时，下一轮受害者将更容易被攻击，威力更加明显！,用户信息,私密信息：日志，相片，邮件,管理信息,后台地址，管理员帐号信息甚至直接通过Ajax上传Shell,客户端信息,针对浏览器缺陷实施攻击,突破浏览器的域限制,360,傲游等浏览器的命令执行,XSS,Xss蠕虫攻击,DDoS攻击,XSS攻击可以用来做什么？,恶意代码存放位置,地址栏,数据库,恶意代码效果,用户点击恶意链接打开时执行恶意代码，隐蔽性差,http:/www.wooyun.org,用户浏览带有恶意代码的正常页面时触发，隐蔽性强,Non-persistent,Persistent,反射型XSS,XSSFilter,扫描器,WAF产品,但是危害越来越小.,但是容易被扫.,但是容易被干掉,存储型XSS,广泛存在,输出内容,输出未过滤,HTML-Context,JS-Context,Css-Context,输出已过滤,Dom-Based操作,eval,innerHTML,setTimeout,setInterval,document.write,根据输出内容所处的位置来分类。,经常需要二次过滤，但程序员忽略掉了。,会自动发生一些转义,Flash-basedXSS,其它/HTML文件,wooyun-2010-07831(random_)百度某分站存储型XSS,恶意代码的输入,恶意代码的输出,恶意代码的执行,替换为,判断存在,禁止提交,wooyun-2010-09111(gainover)点点网存储型XSS,JS-Context存储型XSS的利用方式:,闭合当前脚本，然后输入自定义内容。,2.根据JS上下文，构造正确的闭合。,过滤,/,替换为(网易邮箱),根据实际情况，进行过滤。通常输出是字符串，在和之间，过滤,即可,wooyun-2010-02321(Clouds)百度贴吧存储型XSS,和中的XSS一样，过滤和,而实际上，在HTML的属性里，也是可以被执行的！,进一步构造利用代码,还需要将,通常情况下，可能会将过滤掉了，因而无法使用此方式,1.如果未做过滤，可以用的方式来调用,CSS-Context存储型XSS的利用方式:,2.直接根据CSS上下文构造闭合,根据CSS类型对输出进行严格纠正例如：字体大小，必须为数字，图片地址不允许出现非法字符,IE6,7,8,wooyun-2010-05967(gainover,QQ空间存储型XSS),wooyun-2010-01101(呆子不开口,网易微博换肤XSS),5.http:/zone.wooyun.org/content/465,除了.中可以被写入CSS数据之外，还有其它位置也可以：,2.,3.importdata:,*%7bx:expression(if(!window.x)%7balert(1);window.x=1%7d)%7D;,1.,4.XXX,(邮箱XSS的最爱),(部分内容参考html5sec.org),数据输出,我是输出,varx=$(x).value;varx=$(x).getAttribute(picurl);,varobj=eval(+x+);$(result).innerHTML=x;,DOM操作,name字段是昵称，我们可以自行设置！,接着我们做以下测试：,GainoverGainover,对JS熟悉一点的则可能想到：,于是，我们测试引号是否被过滤!,GainoverGainover,放弃？,vardata=$(json).value;,wooyun-2010-09732(gainover,百度首页XSS后门),这一类漏洞经常出现的场景.,点击查看大图,点击播放音乐,自动播放音乐。,当用户点击查看大图的时候，执行的代码往往是：,functiontest()alert($(pic).getAttribute(bigpic);$(bigimage).innerHTML=;,wooyun-2010-02490(gainover,腾讯微博XSS),wooyun-2010-03317(gainover,QQ邮箱音乐功能XSS),共同点：读取自定义属性，然后进行innerHTML操作。,解决方案：在读取属性之后，对属性中的特殊字符进行二次过滤。,.innerHTML=uXXXX引发的惨案,wooyun-2010-08487(gainover,腾讯WEBQQ聊天功能XSS),实际案例,大多数厂商的做法,将替换为,将替换为/,对data.name进行二次过滤，替换为,wooyun-2010-010167(imlonghao,搜狐微博XSS),FlashXSS,存储型,反射型,正常的存储行为,图片上传组件，视频播放器，音乐播放器,日志HTML未过滤，或过滤不严,FLASH相册，对加载图片未判断,其它一些有加载图片功能的FLASH应用,第三方插件,第三方应用,sameDomain策略,常规的Flash-based存储型XSS,1.最低级的漏洞Alwaysalert(document.cookie);,输入点长度限制,突破长度限制,漏洞的利用,http-onlycookies,XSS蠕虫,盗取信息,恶意请求,跨域请求问题,代码编写,熟悉产品架构,恶意代码的隐蔽性,作为开发人员，要有一定的安全意识，当编写一段代码的时候，要站在攻方的角度，来思考程序的安全性。作为安全人员，要站在开发人员的角度来思考，推测开发人员的逻辑，寻找缺陷，并加以利用。,开发人员,安全人员,一切输入都不能忘了过滤,一切输入都可能被利用,原理,正确构造利用代码,正确过滤恶意代码,EXIF,二维码,谢谢大家,