通过scriptless attack来盗取用户珍贵的数据

  • A+
所属分类:lcx

在盗取数据(比如说:密码,tokens,敏感数据)已经成为了焦点的今天,在一些大型网站的重点业务上实施一次有效的XSS attack已经变得越来越困难了。有时候你会觉得这些网站似乎过滤了所有具有攻击性的标签,属性和事件。有时候你没有办法去植入一个有效的payload,有时候你甚至无法让你的js正常的执行起来(noscript?)。我们经常会看到一段看似完美的injection,最后却只剩下:

这种情况几乎会让任何一个attacker绝望。不难想象到当运维把通过log看到的一切,告诉程序猿时,猿猴那得意的表情。但这些看似没有任何攻击性Injection,真的是无害的么?Mario Heiderich证明了It's NOT!(虽然被bugzilla无情的给忽略了)。

让我们看看下面的代码:

Admin Login






可以很直观的看到我们首先植入了一个完全没有伤害性的form,看上去像一个登录验证form.让我们再继续往下看。我们拥有一个隐藏了的svg还有image和set。image和set在这里做了些什么呢?只要在当前页面当中(the hole page)有accesskey被触发,svg就会把set里的网页传递给image,进而引发一个HTTP GET请求。当我们按下a就会向plebs.me发送一个GET get.php?test=a的请求。当我们按下b就会发送一个GET get.php?test=b请求。让我们看看实际的效果图吧。

通过scriptless attack来盗取用户珍贵的数据

我们再来写一个简单的接收端,像这样:

get.php

通过scriptless attack来盗取用户珍贵的数据

what about the real world hack?也许我们需要编一些故事,像 用户登录超时。账户存在异常登录bla bla bla,来提高欺骗的可行性。我觉得编故事是个很独立的事情,所以让我们直接看结果吧。

通过scriptless attack来盗取用户珍贵的数据

和预期的一样,我们没有受到任何阻拦成功的偷取了用户重要的数据。看上去如果审核人员愿意通过,厂家愿意买单可以刷不少的rank.(刷那点rank估计也变不了高富帅)

当然我们能做的也许不止这些,这毕竟是个hole document keylogger.也就是说我们所能监听的不只是一些input,哪怕是在当前页面的一个无意的按键都是可以被监听的。当然这种攻击方式目前还不是完美的。因为重复按键事件发生时(比如说我们连续按下了4次a),只会发送一个get.php?test=a请求.但好消息是,在重复发生次数在1

black list就像一个没有结局的故事,永远都有新的属性,新的标签 。怎么补也补不完。我只是个newbie给不出什么好的建议。不过就这个mozilla没有买单的问题而言,厂商可以考虑在不影响用户体验的前提下把SVG给过滤了。

[原文地址]

文章来源于lcx.cc:通过scriptless attack来盗取用户珍贵的数据

相关推荐: 关于 linux shell 内网如何做代理

关于linux shell 内网如何做代理 疯子 (世人笑我太疯癫,我笑世人看不穿。) | 2014-05-30 20:24 最近渗透一个网站 拿到一个shell root权限 已提权 现在想渗透内网 想做一个代理并且扫描内网 可是一直找不到怎么做内网代理 求…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: