本文摘自PHP中文网,作者V,侵删。
漏洞情况
该漏洞只在IE和Edge浏览器中有效,漏洞原因在于graph.facebook.com中的某些API端点,在处理HTML代码响应时未实施完善安全的转义措施。响应消息存在于JSON格式中,HTML代码被当做其中一个字段的值也包含在内,而且响应消息不附带Content-Type 或 X-Content-Type-Options头,这样我就能有机会在IE/Edge中构造代码执行了。
(这两类浏览器会扫描整个页面确定MIME文件类型,而其它浏览器只检查前几个字符)。
漏洞复现
1、首先,我们发送以下上传方式的POST请求:
1 |
|
其中的ACCESS_TOKEN是由Facebook for Android的第一方应用生成的有效用户访问令牌,PAYLOAD则是我们想插入的HTML代码,用于后续引诱受害者在浏览器中执行。当提交请求后,远程服务端会返回一个类似如下的值,其中包含一个后续会用到的会话ID(具体请参考Facebook官方说明):
1 |
|
经测试发现,其响应消息中没有内容安全策略(CSP)限制,所以,我想到了能不能用一个包含外部链接的js文件来插入HTML代码,例如:
1 |
|
2、这里的上传请求被Facebook后端做了Base64编码处理,返回显示如下,其中包含了我们特意植入的Payload:
1 2 |
|
所以,用该编码串之后就会有如下请求,用它可以向Facebook发起POST请求:
1 2 3 |
|
3、由此,利用以上请求串,我向其中加入我在第1步中生成的有效access_token,构造了一个HTML网页放到了我的网站中:
该页面包含了一个提交样式,受害者访问之后的响应消息如下:
1 2 |
|
重要的是,https://DOMAIN.com/script.js中的脚本文件将帮助我窃取受害者的“fb_dtsg” CSRF token,并且可向https://www.facebook.com/api/graphql/发送一个添加手机号或邮箱地址的绑定请求,实现间接的受害者账户劫持。
漏洞修复
1 2 3 4 5 6 7 |
|
相关文章教程推荐:网站安全教程
以上就是利用反射型XSS漏洞劫持Facebook账户的详细内容,更多文章请关注木庄网络博客!
相关阅读 >>
更多相关阅读请进入《反射型》频道 >>
