XSSについての0x00の話
XSSは(クロスサイトスクリプティング、一般的にXSSと呼ばれる)サイトアプリケーションの種類を攻撃するセキュリティ上の脆弱性はコードインジェクションです。これは、Webページを表示するとき、Webページに注入コードに悪意のあるユーザーが、他のユーザーが影響を受けることになることができます。このような攻撃は、多くの場合、HTMLとユーザ側のスクリプト言語が含まれています。
ロードし、悪意のある製作することで、Webアプリケーション攻撃を実行するために、ユーザーを有効にするために巧妙な方法による命令のページに悪意のあるコードを注入することにより、Webの脆弱性を使用して開発されたときにXSS攻撃は通常、左を指します。これらのプログラムは通常、悪質なWebページはJavaScriptですが、実際にはまた、Java、VBScriptの、ActiveXの、フラッシュ、あるいはプレーンなHTMLを含めることができます。攻撃が成功した後、攻撃者は、このようなセッションやクッキーなど(例えば、いくつかの操作の実装など)昇格した権限、プライベートコンテンツWebコンテンツの多様性を、得ることができます。
0x01の清華フォーラムx3.2バージョンXSSの分析
清華は、インタラクティブフォームのXSSの後に起因する悪意を持って構築しレビューの不適切な取り扱いにフロントエンドJSコードするので、ユーザーのコメントで管理者の編集機能のポストを設定します。ここでは、ペイロードのデバッグプロセスを通して、この脆弱性の形成を説明します。
HTMLコンテンツへのELEMENTメソッドJSのネイティブ、サーバはエンティティをコーディング反転シングルと二重引用符を通って逃げるでしょう。
ペイロード:[ALIGN =」=のonmouseover」警告(1)]
これは、BBSに使用BBコード言語、ブログの真ん中です。ブラウザは、言語のみをHTMLエンティティに変換することができ、この言語を認識しない、ブラウザが識別されます
0x02のXSSポップ分析
- forum.php?MOD = viewthread&TID = 1&エクストラ=ページ%3D1
ビューのソースコードは、ボックスを再生することはできません、エンコードされたエンティティを発見されました。
< ビッグ列には、 任意のjs清華x3.2ブラウザで実行 / pは>
ユーザーまたはモデレータのコメントをクリックして管理、フロントエンドJSコードの管理は、処理を開始する場合には、運用管理やモデレータを編集するためのポップアップボックス。JSコードの処理中、ユーザは最初のコメントの内容を取得、コードは、現在のページ内にあります
そして、$()関数は、プロトタイプに位置/static/js/common.js前にカプセル化されています。
- /static/js/common.js
ページ内の対応するオブジェクトを取得するためにネイティブのdocument.getElementById()関数を使用して、コンテンツユーザレビューの値にどの対応し、ID =「e_textarea」オブジェクトのためにここに標識されます。JSネイティブ関数に、バックエンドサーバの引用は再レンダリングバッククォートになりますエスケープ:
その後プロセスは、すでに価値判断ブラウザを割り当てたWYSIWYGを継続し
フロントWYSIWYG変数が1であり、それは次のコードを実行
newEditor(1、bbcode2html(textobj.value) )
textobj.value値は前記2(のdocument.getElementByIdを介して()オブジェクト取得したエンティティの解決された符号化)
newEditor()中には、入ってくるコンテンツbbcode2html()を使用する関数は、関数プロトタイプに位置する濾過により符号化されます/static/js/bbcode.js、
- /static/js/bbcode.js
サポートショートは、対応するHTMLコード、と定期的に交換するプログラムマッチング
(。/ [電子メールで=(STR = str.replace ^ [] *) 、'$ 2' [/メールで] / IG)を、
定期的にマッチングした後、交換後、 strの値がに変更されます:2
- 静的/ JS / editor.js
直接HTML文で埋め込まれただけで渡された値のtextobjに、現在のファイルで、に従って続行し、ページがそれらに直接書き込まれます。
直接の結果XSS
