一種結合了點擊劫持、Self-XSS、複製粘貼劫持的新型XSS攻擊

XSS劫持（XSSJacking）是由Dylan Ayrey所提出的一種新型XSS攻擊，可竊取受害者的敏感信息。

XSS劫持需要其他三種技術配合使用，分別是點擊劫持，粘貼劫持以及Self-XSS，甚至還需要一些社會工程學的幫助，因此這種攻擊只能在那些同時有存儲型XSS漏洞或是CSRF漏洞漏洞的網站上執行。

XSS劫持攻擊的必要條件

要構成一個XSS劫持攻擊有以下幾種必要條件：

1、目標網站必須有點擊劫持漏洞

2、Self-XSS

3、粘貼劫持

點擊劫持，是一種將受害者引向黑客所設計好的圈套的欺騙手段。

當受害者點擊一個屏幕上的一個按鈕時，實際上並沒有點到，真正點到的是攻擊者事先將不透明度調至0的目標網頁。

Self-XSS(自跨站腳本攻擊)是一種由受害者自己輸入XSS payload觸發才能成功的XSS攻擊行為，這種攻擊可基於DOM，或是建立在僅該用戶可操作或可見的域。

知道了Self-XSS，我們大致能猜出攻擊思路。但是，怎麼才能讓用戶自己複製粘貼惡意文本呢？

複製動作是可以實現自動化的，這個過程需要用戶去做的動作就是粘貼了！

這就需要用到粘貼劫持攻擊了，這種攻擊方式已經存在很多年，主要是在複製粘貼數據後面偷偷加惡意文本實現的。

XSS藏在」複製粘貼「背後

現在有這樣一個網站，存在Self-XSS漏洞

。

下圖是簡化了的XSS代碼，如果在這個大框中輸入就會彈窗。

假設你現在是一個黑客，並且你已經建了一個論壇，在註冊頁面設置兩處常見的要求「Enter your email」欄以及」Retype your email」欄。

然後悄悄地在」Retype your email」欄放個隱藏iframe，此位置會載入另一個正常網站的設置頁面表單。

https://security.love/XSSJacking/index2.html

當用戶在你的網站上註冊時，大多數人會先輸入一遍郵箱，然後複製第一欄中的郵箱再粘貼到第二欄中（小編默默躺槍）。

就在這個過程中，用戶剪切板中的內容已經神不知鬼不覺地被插入到那個正常網站設置頁面中。

如果這家正常網站相應表單欄位存在XSS漏洞，則攻擊代碼就能發揮作用。

受害者根本就不知道整個過程是怎麼進行、何時進行的。

攻擊中所利用的粘貼劫持技術，是將XSS payload粘貼到其他域名的文本欄框架。

由於這些框架的位置可以改變，並且不可見，因此可以利用點擊劫持讓用戶覺得他還在訪問他「正在」訪問的那個網站。

事實上，他已經觸發了Self-XSS漏洞，黑客可得到他的敏感信息。

通過XSS劫持攻擊，黑客可以盜取該用戶的cookie、收件箱信息、配置詳情，修改配置文件設置（比如手機號、郵箱號）或是執行其他惡意操作。

結論

如今的漏洞賞金項目都將點擊劫持和Self-XSS排除在外，一旦這兩個漏洞同時存在，那麼要在目標機器上強制執行XSS payload也不再是難事。

Dylan Ayrey表示談到很多公司會忽略XSS相關的漏洞報告，他特別提到：

攻擊者現在有越來越多創新的方法利用Self-XSS，我認為企業在收到這樣的報告之後，也會開始重視這樣的問題。

*參考來源：

bleeping，FB小編bimeover編譯，轉載請註明來自Freebuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！