最近跨站腳本漏洞好像比較火，國內(nèi)的一些比較出名的WEB程序都陸續(xù)暴出了跨站腳本漏洞，但是一提到跨站腳本漏洞的攻擊方式大家都啞火了，因?yàn)樵诔Ｒ?guī)的概念中這種漏洞最多是掛網(wǎng)頁木馬，獲取COOKIE之類，屬于典型的雞肋漏洞！
跨站腳本攻擊最大的魅力是通過HTML注入威脅用戶的瀏覽器，任意構(gòu)造用戶當(dāng)前瀏覽的HTML內(nèi)容，甚至可以模擬用戶當(dāng)前的操作。我這里介紹一種新式攻擊方法：XSS Phishing（跨站腳本攻擊），利用這種方式可以直接盜取用戶的密碼，下面我就拿最近PHPWIND論壇所暴出的XSS做一下演示，PHPWIND對上傳文件名沒有處理嚴(yán)格，導(dǎo)致可以寫入跨站腳本。
先做一個(gè)簡單的測試，發(fā)一篇新帖，在附件中隨意寫入一個(gè)本地路徑加帶“”的文件名，如圖一

發(fā)帖成功后我們會發(fā)現(xiàn)，帖子附件名已經(jīng)沒有了，如圖二

我們查看當(dāng)前頁面的源代碼 會發(fā)現(xiàn)已經(jīng)寫到頁面內(nèi)，如圖三

當(dāng)然要寫入腳本，PHPWIND還是做了限制，文件名中出現(xiàn)"(","/"字符將會被過濾，不過可以利用HTML轉(zhuǎn)碼的方式繞過這個(gè)限制，如
轉(zhuǎn)換成
這樣我們已經(jīng)實(shí)現(xiàn)了跨站腳本的寫入，關(guān)鍵是怎么實(shí)現(xiàn)攻擊，這一處跨站腳本漏洞進(jìn)行了HTML轉(zhuǎn)碼，我們不方便寫入過長的內(nèi)容，那么就加載一個(gè)JS文件，動態(tài)創(chuàng)建一個(gè)script標(biāo)記，代碼如下：
OK,到了這一步我們就可以在JS中任意構(gòu)造我們的攻擊代碼，攻擊的思路是當(dāng)用戶訪問帖子，利用腳本清空當(dāng)前頁面，然后重新寫成頁面。
首先我們可以實(shí)驗(yàn)一下，javacript有一個(gè)小特性,延時(shí)輸出將會清空當(dāng)前頁面所有的內(nèi)容，
如圖四，帖子頁面的代碼和內(nèi)容全變成了“我是來釣魚的！”

想一想，如果我們把info變量的內(nèi)容變成HTML代碼 會怎樣，如圖五

我們完全可以把頁面變成一個(gè)自己操縱的登錄頁面，將表單的值指向遠(yuǎn)程服務(wù)器上的程序，如圖六

然后遠(yuǎn)程服務(wù)器上的程序?qū)⒔邮鼙韱蜳OST的用戶和密碼，當(dāng)然我們可以做巧妙點(diǎn)，讓其訪問后又轉(zhuǎn)跳回論壇首頁，代碼如下：

這類攻擊方式危害很大，文中的原始代碼只是描敘一下思路，有很多破綻。
提醒一下，跨站腳本不僅僅是簡單的掛馬，XSS Phishing（跨站腳本攻擊）只是一個(gè)簡單的開始！

最新評論