一種結合了點擊劫持、Self-XSS、複製粘貼劫持的新型XSS攻擊
XSS劫持(XSSJacking)是由Dylan Ayrey所提出的一種新型XSS攻擊,可竊取受害者的敏感信息。
XSS劫持需要其他三種技術配合使用,分別是點擊劫持,粘貼劫持以及Self-XSS,甚至還需要一些社會工程學的幫助,因此這種攻擊只能在那些同時有存儲型XSS漏洞或是CSRF漏洞漏洞的網站上執行。
XSS劫持攻擊的必要條件
要構成一個XSS劫持攻擊有以下幾種必要條件:
1、目標網站必須有點擊劫持漏洞
2、Self-XSS
3、粘貼劫持
點擊劫持,是一種將受害者引向黑客所設計好的圈套的欺騙手段。
當受害者點擊一個屏幕上的一個按鈕時,實際上並沒有點到,真正點到的是攻擊者事先將不透明度調至0的目標網頁。
Self-XSS(自跨站腳本攻擊)是一種由受害者自己輸入XSS payload觸發才能成功的XSS攻擊行為,這種攻擊可基於DOM,或是建立在僅該用戶可操作或可見的域。
知道了Self-XSS,我們大致能猜出攻擊思路。但是,怎麼才能讓用戶自己複製粘貼惡意文本呢?
複製動作是可以實現自動化的,這個過程需要用戶去做的動作就是粘貼了!
這就需要用到粘貼劫持攻擊了,這種攻擊方式已經存在很多年,主要是在複製粘貼數據後面偷偷加惡意文本實現的。
XSS藏在」複製粘貼「背後
現在有這樣一個網站,存在Self-XSS漏洞
https://security.love/XSSJacking。
下圖是簡化了的XSS代碼,如果在這個大框中輸入就會彈窗。
假設你現在是一個黑客,並且你已經建了一個論壇,在註冊頁面設置兩處常見的要求「Enter your email」欄以及」Retype your email」欄。
然後悄悄地在」Retype your email」欄放個隱藏iframe,此位置會載入另一個正常網站的設置頁面表單。
https://security.love/XSSJacking/index2.html
當用戶在你的網站上註冊時,大多數人會先輸入一遍郵箱,然後複製第一欄中的郵箱再粘貼到第二欄中(小編默默躺槍)。
就在這個過程中,用戶剪切板中的內容已經神不知鬼不覺地被插入到那個正常網站設置頁面中。
如果這家正常網站相應表單欄位存在XSS漏洞,則攻擊代碼就能發揮作用。
受害者根本就不知道整個過程是怎麼進行、何時進行的。
攻擊中所利用的粘貼劫持技術,是將XSS payload粘貼到其他域名的文本欄框架。
由於這些框架的位置可以改變,並且不可見,因此可以利用點擊劫持讓用戶覺得他還在訪問他「正在」訪問的那個網站。
事實上,他已經觸發了Self-XSS漏洞,黑客可得到他的敏感信息。
通過XSS劫持攻擊,黑客可以盜取該用戶的cookie、收件箱信息、配置詳情,修改配置文件設置(比如手機號、郵箱號)或是執行其他惡意操作。
結論
如今的漏洞賞金項目都將點擊劫持和Self-XSS排除在外,一旦這兩個漏洞同時存在,那麼要在目標機器上強制執行XSS payload也不再是難事。
Dylan Ayrey表示談到很多公司會忽略XSS相關的漏洞報告,他特別提到:
攻擊者現在有越來越多創新的方法利用Self-XSS,我認為企業在收到這樣的報告之後,也會開始重視這樣的問題。
*參考來源:
bleeping,FB小編bimeover編譯,轉載請註明來自Freebuf.COM
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※智能模糊測試工具Peach Fuzzer官方文檔翻譯 | 內附資源
※次世代SIEM?IBM眼中的SOAPA
※八大熱門在線黑客學習課程合集 | 八合一僅售39美元
※淺談拒絕服務攻擊的原理與防禦(5) | NTP反射攻擊復現
※【漏洞預警】IIS 6.0曝遠程代碼執行漏洞CVE-2017-7269
TAG:FreeBuf |
※Windows 下的 7種DLL 劫持技術
※可劫持iPhone 7的關鍵WiFi漏洞被曝出
※利用Hook技術實現瀏覽器HTTPS劫持
※阿里雲PCDN新亮點 自動調用HTTPDNS 解決域名劫持困擾
※Authenticode簽名偽造——PE文件的簽名偽造與簽名驗證劫持
※IT之家學院:通過改hosts解決瀏覽器主頁劫持
※黑客劫持ISIS相關賬戶後 用色情圖和LGBT圖像取代資料照片
※2.6萬台MongoDB資料庫被劫持 用戶慘遭調戲
※揭密巴西Banrisul銀行網站遭遇5小時劫持的原因
※無招勝有招: 看我如何通過劫持COM伺服器繞過AMSI
※「凈廣大師」病毒HTTPS劫持技術深度分析
※劫持敘利亞沙漠,美軍在絞盤上打下ISIS戰機
※Web前端頁面劫持和反劫持
※MongoDB資料庫遭大規模勒索攻擊,被劫持26000多台伺服器
※一種會話劫持技術通殺全部Windows版本,但這真的是漏洞嗎…
※DNSPod客服審核不嚴,導致國內某技術論壇域名被劫持一小時
※物聯網惡意軟體Hajime劫持30萬台設備 動機成謎
※Cell:揭示甲型流感病毒劫持人細胞進行增殖機制
※澳大利亞發生人質劫持事件嫌犯被擊斃 ISIS宣布負責