首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
安全知识 :: 专题文章

Input XSS最新漏洞及利用


http://www.gipsky.com/
发表于《黑客防线》07年01期

作者:梦之光线(Monyer)



快过年了,所以文章开头忍不住要罗嗦几句。首先当然是要祝大家新年快乐(省略若干新年贺词);然后就是把工作放一放,多回家看看!既然是新一年的文章, Monyer当然不会忘记给大家带来新的漏洞;接着我们的ajax hacking,我们依然要谈XSS,不过这回的利用漏洞一定会让你感到惊喜!

我们知道假如要使XSS能够实现,则我们的代码必须通过某种方式嵌入到对方的网页中。像注入漏洞的“’”“and 1=1”“and 1=2”一样,Input XSS也有自己的漏洞检测字符串??“http://v.baidu.com/srh.php?if=1&word=<iframe>(如图1)



图表 1

而新的漏洞则存在于用户登录界面上。由于现在大部分站点的登录系统为了方便用户,采取将输错的用户名返回通知用户的方式,但却没有对通知信息进行过滤,导致跨站攻击的产生。简单来说就是:你在用户名处输入“I Am Monyer”,但返回给你的结果是“对不起!I Am Monyer这个用户名不存在”或者是返回原页面仅对密码框内容进行清空但却依然保留在用户名框中你所输入的用户名;这样当你在用户名处输入“http://passport.baidu.com/?login& ... .com/?login&username=
"><script>alert(/xss/)</script><&password

会更具有迷惑性,因为通常在百度里passport的转向代码都是:http://passport.baidu.com/?login& ... ttp://hi.baidu.com/monyer

这样。



网易通行证XSS

假如说百度passport由于替换了引号导致在构造xss代码时有些困难,那么网易的通行证算是为我们想得相当周到了??什么过滤措施都没有。首先在通行证处顺便填入用户名密码看是否有返回用户名,结果我们发现我们输入的内容被原封不动的返回过来了,而假如构造https://reg.163.com/logins.jsp?usernam ... ogins.jsp?username=" type=hidden />http://member1.taobao.com/member/logi ... day=09<script>alert('xss')</script>(如图8)



图表 8

同样的漏洞出现在最近漏洞百出的phpwind系统上,下面是对其官方站点的测试:



图表 9

还有一些网站就不在此一一介绍了。关于将上面url进行编码,你可以把如下代码写成html文件进行encode转换:

<html><head><script>

function doit(f){

var o=document.getElementById('txt');

if(o) o.innerText=f(o.innerText);

}</script></head>

<body>

<textarea id='txt' cols=100 rows=35></textarea><br />

<input type='button' value='escape' onclick='doit(escape)'>

<input type='button' value='unescape' onclick='doit(unescape)'>

</body></html>

在这次的测试中,我们也对微软和google的登录系统进行了检测,几乎所有的国外的登录系统都没有这个问题!他们都会把“<>”之类的危险标签转换为“&lt;&gt;”。而这次的跨站漏洞没有调用任何页面,也没有对网站添加任何数据,就对登录页面进行了伪造。所以后果还是相当严重的。好了,文章就到这里,祝大家能玩出新花样来!
<< Ajax Hacking实战??打造XSS Trojan 从百度空间到中国博客漏洞 >>
评分
10987654321
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号