[典型漏洞分享]一个典型的XSS盲打漏洞可导致全网用户cookie被盗取

偶平时在做安全测试时，一般是以发现问题为主，点到为止，但做安全的同学可能也遇到过这样的问题，当你尝试向开发的同学描述一个漏洞危害怎么怎么样的时候，双方经常会有一种鸡同鸭讲的感觉，甚至他们觉得我们在夸大其词去影响他们去修复，其实面对开发的同学的质疑，我也觉得合理，毕竟你用XSS去弹个框，能说明什么呢？因此，本案例着偏重渗透的过程，目的是通过一个案例来解决以后鸡同鸭讲的局面，同时也能树立安全部的权威。

YS OMM在记录日志时未对输入数据进行过滤，易导致存储型XSS攻击【高】

问题描述：

OMM模块在日志中记录了用户对设备等资源的相关操作，但是有些操作日志的内容是用户可控制的，故可以通过特定的接口往OMM日志写入可产生攻击的特殊字符，比如当向日志写入恶意JS脚本，当OMM管理员登录OMM系统查看用户日志时，恶意脚本执行，此时，我们可以下载一段更加强大的JS脚本作为产生一个XSS代理，在外围和内网之间搭建一个通信的“桥梁”，然后利用OMM的公告管理功能向所有YS用户发送带恶意JS脚本的系统公告，一旦用户登录上线，公告的恶意代码自动执行，用户的cookie即被盗取。

注：为了向开发的同志们说明此漏洞的真正危害所在，我们决定在测试平台上进行实战演习，即盗取所有测试账号的cookie，也便于澄清XSS不再是弹一个框的问题。

测试步骤：

1、  启动burp，并开启http拦截代理功能：

2、  登录YS，选择 配置管理> 设备管理> 设备详情> 修改名称，输入合法名称并提交，，如下所示：

3、  在burp拦截到的请求中改为带攻击性的名称，并提交，如下图：

4、  登录OMM数据查看日志，可以看到脚本语句已被写入日志，如下图：

5、  等待OMM管理员登录查看日志。

6、  等待一段时间过后，在xss shell工具的控制界面看到，我们的代码被成功执行了，有浏览器上线，这也说明OMM管理员中招了：

7、  启动xss tunnel工具，配置代理监听端口，这里设置为本地的8079，如图：

8、  设置浏览器使用该代理进行访问，如图：

9、  可以看到，以及成功的访问到YS的OMM控制台，各种强大功能（比如：公告管理）在浏览器上展现出来，如下图所示：

10、              我们模拟攻击者向测试平台推送了一条含有xss代码的系统公告，该xss的代码作用是收集登录用户的cookie，如图：

11、              过了一段时间，我们成功收集到了一些同事的cookie，并且成功登录。

问题扩展：

可能还有其它接口（比如手机API，PC客户端API）存在同样类似问题，所以对于用户能够控制日志内容的接口都应该应仔细排查。

解决建议：

1、  对写入日志的内容进行html编码（可参考ESAPI的encodeForHTML方法），以确保读取日志时不会产生有害攻击。

2、  对输入的数据使用白名单做过滤。

总结：

此类问题的关键还是对数据流的处理问题，当前测试时插入的恶意数据流没有发现问题不代表以后也没问题，对于甲方公司有条件做灰盒测试的同学，可以对输入的数据流进行严格跟踪，数据入口和出口详细分析清楚才能把控好风险，比如：复杂的系统可能是一个数据入口对应多个数据出口，或者多个数据人口对应1个数据出口，甚至可能是多对多的关系。比较保险的做法是找到所有的数据入口和出口，执行以下步骤：

1、对于会被静态存储的数据必须做白名单过滤，比如数据库和日志的入口数据，防止将来可能出现新的数据出口引发的安全问题。

2、对于html的数据出口一定要做安全转义，防止将来可能出现的新的用户可控的数据入口。