Увидев как все ринулись искать XSS на прекрасно-синем Хабрахабре решил попытать свое счастье 🙂 POST-овые self-xss, бесполезные во многих контекстах и векторах, начиная с фильтрации в самых популярных браузеров (chrome/safari/ie etc) и заканчивая сложностью их же применения и эксплуатации было решено оставить остальным первопроходцам и отправиться на поиски чего-то более стоящего.
Попытка номер раз.
Сначала было решено проверить авторизацию и регистрацию. Ту «чудную» XSS, найденную в этом посте я пропустил, видимо опоздав на несколько дней (а что было бы если бы мысль поискать пришла немного раньше?). Я не любитель заумных приспособлений для поиска и тестирования XSS и предпочитаю очень удобный функционал, встроенный в Chrome, позволяющий скопировать все заголовки в curl и воспользоваться ими через консоль.
Поиграв с параметрами и ничего не найдя, я по привычке проверил как работает 302 редирект в случае неправильного пути и оказалось что совсем не так как на основном домене.
Отправляя серверу
curl 'https://auth.habrahabr.ru//%22%3E%3Ch1%3Etest'
был получен очень интересный ответ
<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <title>Документ переехал!</title> </head> <body> <a href="http://habrahabr.ru/auth/"><h1>test/">http://habrahabr.ru/auth/"><h1>test/</a> </body> </html> Как видно из запроса — первая вставка uri не фильтруется, вторая же фильтруется, из-за чего на первый взгляд возникает XSS. Однако попробовав атаку через обычные браузеры и не увидев обещанной XSS, я решил копнуть глубже и увидел что хитрый сервер мало того что добавляет слэш в конец, из-за чего сервер вместо редиректа показывал нам 404ую (довольно странное правило для веб сервера?), так еще и кидает на habrahabr.ru/auth/%xss% ДО того как успеет выполниться js из нашей баги. Первая проблема решилась легко и быстро — все что пришлось сделать так это поставить "?", чтобы все остальное «отбросилось» как GET параметр:
curl 'https://auth.habrahabr.ru//%22%3E%3Ch1%3Etest?'
Теперь ответ выглядел так:
<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <title>Документ переехал!</title> </head> <body> <a href="http://habrahabr.ru/auth/"><h1>test?/">http://habrahabr.ru/auth/"><h1>test?/</a> </body> </html> Вторую же проблему мне так и не удалось решить. Код упорно не успевал выполняться, кроме как на IE <8 или через тот-же курл 🙂
Что я только не пытался с горя, например убрать meta-refresh:
var mr = document.getElementById("meta-refresh"); mr.parentNode.removeChild(mr); Но, к сожалению, нулевое время рефреша не оставило мне никаких шансов и я отправился на дальнейшие поиски, так как подобная недоуязвимость меня не устраивала 🙁
Попытка номер 2.
После первого фейла было решено не сдаваться и попробовать свои силы в других частях сайта. Воспользовавшись волшебным и неустаревающим гуглом было найдено несколько старых и новых страниц платных промо различных компаний. Самые последние промо страницы всем атакам сопротивлялись очень серьезно, выводимые данные эскейпили, в некоторых местах даже по два раза. Вспомнив про различные конкурсы, где Хабр позволяет обычным смертным зарегистрироваться, я зашел на habrahabr.ru/special/miss/, попробовал в регистрации использовать никнейм с спец символами:
Подтвердив регистрацию я увидел долгожданный алерт:
На нем останавливаться было нельзя, ведь он выводится после авторизации, в блоке который видит сам пользователь. Можно было конечно было авторизоваться пользователя через CSRF (она как раз была в форме авторизации), а затем перенаправить его уже на нашу XSS, но это не наши методы:)
Не найдя ни в куках, ни где-то еще своего айдишника, стал перебирать максимальный id профиля и нашел его:
Пожалуй на этом можно было остановиться и репортить администрации, активная XSS есть, никакие браузерные фильтры ей не страшны… но… но хотелось еще!
Google Power.
habrahabr active xss dork:
site:.habrahabr.ru/special inurl:register
Гугл выдал около 10+ результатов, из которых большинство были, некоторые вообще еле-еле работали, были частично прикрыты, как например habrahabr.ru/special/panasonic/3d/.
Попробовал зарегистрироваться и увидел облом: панелька с именем пользователя не открывалась, комментарии не отправлялись… ничего не работало. Ничего не работало пока я не заглянул в исходник страницы и не увидел замечательную вещь:
Внимательный человек сразу бы добавил к началу никнейма при регистрации "—>" и получил полностью рабочий вебсайт:
Что в html-ке выглядело как:
Дальше я прошелся по всевозможным спешл страницам и пособирал скриншоты для администрации и этой статьи 🙂
XSS в выводе профиля в комментариях:
Итоги.
В итоге было найдено более 10 активных XSS (разных типов правда среди них от силы было около трех) и одна пассивная недоXSS, за которые мне на почту свалилось 100500 подарочных инвайтов! Возможно я пропустил непроиндексированные страницы, либо просто не заметил нефильтрованный вывод данных еще в каких-то местах этих промо, но на данный момент все оперативно исправлено администрацией за что ей большое спасибо! 🙂
ссылка на оригинал статьи http://habrahabr.ru/post/197672/
Добавить комментарий