Самодостаточные XSS атаки

www.gnucitizen.org

Сущность атак межсайтового скриптинга (XSS) – непроверяемые данные. С этой точки зрения каждое приложение, которые выводит входные данные является потенциально уязвимым и может быть эксплуатировано атакующим для кражи идентификаторов сессий, принуждения пользователей к злонамеренным действиям, сбора важной информации и т.д.

XSS атаки могут быть хранимыми и отраженными. Хранимый XSS является более опасным, поскольку позволяет контролировать жертву более длительное время. Отраженный XSS хотя и считается менее опасным, он все же активно используется в фишинг атаках.

В этой статье мы опишем новый вектор XSS атак, который хоть и относится к отраженным атакам, но на самом деле является более опасным, чем хранимый XSS. Данный метод может использоваться для обхода почтовых фильтров, XSS фильтров, межсетевых экранов и функций проверки данных. Более того, если вы просматриваете злонамеренное сообщение с помощью уязвимого к XSS просмотрщика RSS каналов, вы можете нажать на следующую ссылку и увидеть результат работы функции alert().

Название самодостаточный XSS полностью объясняет тип атаки. Эта атака не требует наличия XSS уязвимости в web приложении. Все, что требуется для ее проведения содержится в одном URL. После выполнения URL ресурс будет автоматически ассемблирован.

Злонамеренная ссылки должна начинаться с data: протокола и специально сформированной строки. В современных браузерах существует поддержка множества протоколов: http:, https:,ftp: и about:, но протокол data: является самым функциональным, поскольку позволяет AJAX приложениям генерировать PDF, DOC, MP3 и другие форматы без нужды в серверной поддержке сценариев. Спецификация этого протокола описана в RFC2397.

Следующий пример демонстрирует огромные возможности url схемы data: и объясняет возможную угрозу безопасности. В следующей форе вы сможете сгенерировать html код, который может быть открыт и выполнен:

<script> alert("Self-contained XSS"); </script>

 

Воздействие самодостаточного XSS на много больше, чем можно себе представить. Эта технология позволяет создавать исполняемые файлы с помощью JavaScript. JavaScript теперь могут создавать DOC или PDF файлы, содержащие злонамеренный код и эксплуатирующие переполнения буфера в уязвимых приложениях. Следующие пример позволят открыть документ MS Word.

Это уязвимость может быть эксплуатирована в Firefox, Opera и возможно других браузерах. Internet Explorer 6 и 7 не позволит произвести атаку такого типа.