一种结合了点击劫持、Self-XSS、复制粘贴劫持的新型XSS攻击

XSS劫持(XSSJacking)是由Dylan Ayrey所提出的一种新型XSS攻击,可窃取受害者的敏感信息。

XSS劫持需要其他三种技术配合使用,分别是点击劫持,粘贴劫持以及Self-XSS,甚至还需要一些社会工程学的帮助,因此这种攻击只能在那些同时有存储型XSS漏洞或是CSRF漏洞漏洞的网站上执行。

XSS劫持攻击的必要条件

要构成一个XSS劫持攻击有以下几种必要条件:

1、目标网站必须有点击劫持漏洞 2、Self-XSS 3、粘贴劫持

点击劫持,是一种将受害者引向黑客所设计好的圈套的欺骗手段。

当受害者点击一个屏幕上的一个按钮时,实际上并没有点到,真正点到的是攻击者事先将不透明度调至0的目标网页。

Self-XSS(自跨站脚本攻击)是一种由受害者自己输入XSS payload触发才能成功的XSS攻击行为,这种攻击可基于DOM,或是建立在仅该用户可操作或可见的域。

知道了Self-XSS,我们大致能猜出攻击思路。但是,怎么才能让用户自己复制粘贴恶意文本呢?

复制动作是可以实现自动化的,这个过程需要用户去做的动作就是粘贴了!

这就需要用到粘贴劫持攻击了,这种攻击方式已经存在很多年,主要是在复制粘贴数据后面偷偷加恶意文本实现的。

XSS藏在”复制粘贴“背后

现在有这样一个网站,存在Self-XSS漏洞 https://security.love/XSSJacking

下图是简化了的XSS代码,如果在这个大框中输入<script>alert(1)</script>就会弹窗。

假设你现在是一个黑客,并且你已经建了一个论坛,在注册页面设置两处常见的要求“Enter your email”栏以及”Retype your email”栏。

然后悄悄地在”Retype your email”栏放个隐藏iframe,此位置会加载另一个正常网站的设置页面表单。https://security.love/XSSJacking/index2.html

当用户在你的网站上注册时,大多数人会先输入一遍邮箱,然后复制第一栏中的邮箱再粘贴到第二栏中(小编默默躺枪)。

就在这个过程中,用户剪切板中的内容已经神不知鬼不觉地被插入到那个正常网站设置页面中。

如果这家正常网站相应表单字段存在XSS漏洞,则攻击代码就能发挥作用。

受害者根本就不知道整个过程是怎么进行、何时进行的。

攻击中所利用的粘贴劫持技术,是将XSS payload粘贴到其他域名的文本栏框架。

由于这些框架的位置可以改变,并且不可见,因此可以利用点击劫持让用户觉得他还在访问他“正在”访问的那个网站。

事实上,他已经触发了Self-XSS漏洞,黑客可得到他的敏感信息。

通过XSS劫持攻击,黑客可以盗取该用户的cookie、收件箱信息、配置详情,修改配置文件设置(比如手机号、邮箱号)或是执行其他恶意操作。

结论

如今的漏洞赏金项目都将点击劫持和Self-XSS排除在外,一旦这两个漏洞同时存在,那么要在目标机器上强制执行XSS payload也不再是难事。

Dylan Ayrey表示谈到很多公司会忽略XSS相关的漏洞报告,他特别提到:

攻击者现在有越来越多创新的方法利用Self-XSS,我认为企业在收到这样的报告之后,也会开始重视这样的问题。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-03-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏角落的白板报

【52ABP实战教程】0.1-- Devops如何用VSTS持续集成到Github仓库!

“ 工欲善其事,必先利其器。磨刀不误砍柴工!” 管理工具会VSTS。 代码管理会用GITHUB。 服务器会用Azure。 所有的东西都是利用现有服...

2919
来自专栏农夫安全

Linux下Arp欺骗攻击的另类应用之屌丝泡妞记

本文为小编在新东文章整理中阅读后发现不错,如有侵权联系作者删除 EveryNote 真是个好动西,跨平台的笔记本工具。好到,平时记录一些自己的东西,都懒得在写东...

4138
来自专栏FreeBuf

打造刀郎安全PHP系统

有一段时间没有露面的,现在出来和各位打个招呼,今天给大家带来话题是打造安全php系统,web安全防不胜防,那么我们怎么尽可能的做到安全啦?

1515
来自专栏角落的白板报

【52ABP实战教程】0.1-- Devops如何用VSTS持续集成到Github仓库!

“ 工欲善其事,必先利其器。磨刀不误砍柴工!” 管理工具会VSTS。 代码管理会用GITHUB。 服务器会用Azure。 所有的东西都是利用现有服...

3538
来自专栏企鹅号快讯

bt、磁力怎么下载?老司机飙车终极思路……

百度云解析失败,迅雷也是如此?无法下载BT!5大高分下载神器,你用过几个? ——wit小学生 最近好多小伙伴们向小学生吐槽,下载的BT不是没进度就是提示敏感资源...

8.4K10
来自专栏喔家ArchiSelf

IoT固/软件更新及开源选项

物联网的迅速发展涌现了数十亿与互联网连接的无线嵌入式设备。 从医疗设备到坦克传感器, 智能恒温器, 智能路灯, 水监视器等等, 物联网比以往任何时候都应用广泛。

1752
来自专栏腾讯技术工程官方号的专栏

你不知道的Android SDK安全测试

image.png 作者介绍:anglia,2014年加入腾讯TEG,一直致力于信鸽和MTA两款产品的移动终端 引言 作为Android手机用户中的一枚残粉...

2915
来自专栏程序员的知识天地

这一堆初中生写的类库、框架,让一群中年程序员坐不住了!

前不久在V2EX上看到一个帖子,主题是「一堆初中生写的类库、框架」,原本猿妹以为只是个标题党不以为意。点进去该博主的博客主页发现,博主确实是一名初中生,而且他的...

1413
来自专栏FreeBuf

iPhone的Wi-Fi芯片漏洞利用POC公布,赶紧更新系统吧

本周,谷歌 Project Zero 项目的研究员 Gal Beniamini 公布了 iPhone Wi-Fi 固件的漏洞利用 POC。这个漏洞(CVE-20...

2438
来自专栏张戈的专栏

WordPress发布文章主动推送到百度,加快收录保护原创

工作实在太忙,也没时间打理网站。最近公司额外交待了一些网站 SEO 方面的优化任务让我关注(这就是啥都要会、啥都要做的苦逼运维的真实写照了...)。 于是抽空看...

3486

扫码关注云+社区

领取腾讯云代金券