跨站点脚本是一种低估的漏洞

了解为什么跨站点脚本(XSS)是一个低估的漏洞以及本文如何改变您的思想。

由Csirt.ubi的创始人Pedro Tavares&网络安全博客seguranca-informatica.pt

网络安全攻击是人们,组织和国家的观点来看是一个巨大的挑战。也称为网络攻击,它们代表个人或组织的恶意企图违反另一个个人或组织的信息系统。

多年来,注射漏洞已经以OWASP定位’s前十大漏洞 - 跨站点脚本,也称为xss。这些类型的攻击通过将某些代码注入良性和可信的Web应用程序来工作。当对手使用Web应用程序以浏览器侧脚本的形式发送恶意代码时,会发生它,以向不同的最终用户发送恶意代码。

通过对手利用的缺陷是非常普遍的,并且在Web应用程序使用来自输出中的用户的输入时的任何位置都会发生,而不会验证或编码它。

本文旨在为XSS提供大量的事情 - 一个被低估的漏洞。

XSS的艺术

XSS原则始终在受害者的浏览器中执行恶意JavaScript代码。有不同的方法可以实现这个目标,它们通常分为三种类型,即:

持久性XS:恶意有效载荷来自网站’s database.

反映了XS:恶意有效载荷来自受害者’s request.

基于DOM的XSS:该漏洞位于客户端代码而不是服务器端代码中。

XSS和黑客的灵感

XSS是一个低估的漏洞。事实上,有三种充分的理由:(i)这是一个客户端漏洞,(ii)许多白色帽子只需要弹出概念校样,(iii),大多数黑人的帽子唐我知道足够的JavaScript用XSS赚得很多钱。

XSS是一个强大的攻击矢量,可以注入恶意有效载荷,也可以用来冒充一些东西。我们可以使用很多事情与XSS做。接下来,提出了实际攻击中对手使用的可能场景的列表。

ad-jecking.:对手可以在合法的网站中注入自己的广告,以便轻松赚钱,并基于持久性XSS。

点击插入:隐藏的叠加可以在网站上创建劫持受害者点击并执行恶意操作,例如重定向到登录页面并展出虚假的付款表单。

会话劫持:只要javascript可以访问HTTP cookie 只有 饼干中不存在标志。

内容欺骗:Javascript非常强大。通过这种方式,攻击性可以在JavaScript完全访问客户端代码时修改具有所需内容的页面。

凭据收获: 受害者将自己的凭据放在由对手创造的幻想弹出窗口中,以获得凭据的目标。

强制下载: 黑客有几种应用程序漏洞是利用的。最受欢迎的例子之一是Flash Player。对手可以强迫受害者正在访问的可信人网站下载。

Crypto Mining: 未经其同意和知识,对手可以使用受害者的CPU权力来挖掘加密货币。

绕过CSRF保护: 对手可以将POST请求与JavaScript发布。他们可以收集并提交CSRF令牌并窃取数据,甚至在第三方服务中执行关键操作。

键合金:可以收获受害者在键盘中的类型。

录制音频: –它需要来自用户的授权,但对手可以访问麦克风。这是可以从HTML5和JavaScript进行的。

正在拍照: 对手可以从受害者的网络摄像头拍照(这需要用户授权)。

地理位置:这需要来自用户的授权,但对手可以访问受害者的地理位置。

窃取HTML5 Web存储数据:  HTML5推出了一个新功能,Web存储。现在,一个网站可以在浏览器中存储数据以供以后使用,当然,JavaScript可以通过Window.Localstorage()和window.webstage()访问该存储。

浏览器&系统指纹识别: JavaScript使其成为一块蛋糕,用于查找浏览器名称,版本,安装的插件及其版本,操作系统版本,架构,系统时间,语言和屏幕分辨率。

网络扫描: –可以滥用受害者的浏览器用JavaScript扫描端口和主机。

撞击浏览器 –对手可以用东西淹没它们的浏览器崩溃。

窃取信息 –可以从网页获取信息并将其发送到恶意服务器。

重定向:permersaries可以使用javascript将用户重定向到任何网页。

标签敲击:只是一个富有的重定向版本。例如,如果没有收到键盘或鼠标事件超过一分钟,则可能意味着用户是AFK,对手可以用假装删除当前的网页。

捕获截图 –对手可以拍摄网页的屏幕截图。盲人XSS检测工具在凉爽之前一直在这样做。

考虑

JavaScript是一种强大的语言,可用于在访问网页时操纵用户的行为。很多次,它被认为是被忽视的脆弱性,但是恶意地平线是巨人 - 如本文中所观察到的那样。

生活在这个数字时代,你总是应该怀疑一些奇怪的东西。

对于开发人员来说,我喜欢的三种辉煌的东西:(i)逃脱,(ii)通过白名单和(iii),消毒验证输入。使用代码审查,自动静态代码分析和安全代码必须始终是植入开发团队中的强制性过程。

最后,下次找到XSS漏洞,报告。如果您不在第一次参加,则更改变POC。尝试提交漏洞窃取数据或其他关键的东西 - 当然,它会产生另一个影响。

关于作者

佩德罗·塔瓦雷斯 是一个网络安全专业人员和Csirt.ubi和创始人的创始成员和普斯特 seguranca-informatica.pt。在 近年来,他已经投资了信息安全领域,探索和分析了各种主题,例如Penting(Kali Linux),恶意软件,黑客,网络安全,计算机网络中的IOT和安全性。他也是一个自由撰稿人。

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请