简要描述:

利用的是xsser.me的基础认证钓鱼,并成功钓到用户数据

详细说明:

当在Discuz中回帖,插入一张很奇葩的图片时,可能就会导致用户被盗号。

http://xsser.me/authtest.php?id=Ayuk1y&[email protected]
例如上面那个地址,可以用图片来引用之,然后回帖,当用户看到这张图片的时候,就会触发提示登陆框。
这个地址是一个401头
HTTP/1.1 401 Unauthorized
当输入密码后,会重定向到收集数据的页面,接着,你们密码就被盗了。
我为什么认为这个是一个漏洞:
1、用户网站大多都是提醒用户不要再站外输入自己的账号密码,但是,现在将代码插入到网站内部,用户有认为这是在网站内部,所以就输入了自己的密码。
2、经过试验,成功钓到了用户的数据
3、不仅仅是Discuz,需要网站都支持引用一张网络图片,并没有对图片的HTTP头进行检验。基础认证钓鱼很容易蔓延开来。。
4、之前的钓鱼过程是:黑客设立钓鱼页——通过短信息等传播这个地址——用户访问——用户受骗
而现在是:黑客在帖子中插入钓鱼信息——用户访问——用户受骗
显然,就少了一个非常繁琐的步骤。
例如,在一个论坛中,我将那个图片插在签名中,然后几乎每个帖子都去回复,然后,用户基本上就是去到哪里都能看到我的框框。。。。-,-然后后果你猜?!
(部分浏览器不支持)

漏洞证明:

以360论坛和吾爱破解论坛做了个试验。

clip_image001

clip_image002

clip_image003clip_image004clip_image005clip_image006clip_image007

horseluke的评论 :这个欺骗应该属于钓鱼一类,只要任何网站只要能插入外部内容都可以成功。但和钓鱼不同的是,由于引入外部内容可伪装成合法数据且为用户数据的高度不可控,会导致web软件自身会拦不住(或者拦截成本过高),浏览器拦的话可以考虑(但目前也没见到类似拦截iframe的方法),再或者安全软件用智慧星方法把已知xss平台给拦(但这样的话对安全研究成为灾难)......所以个人更偏向需要向普通用户普及安全知识,或者用户自己直接用host把已知xss平台给屏蔽。综上:厂商忽略有道理,靠自己真修不了,也无从修起。

to all,360安全卫士在微博上评论“Chrome对http auth方式钓鱼的安全问题一年前已经有更新了”。经初步测试,chrome确实在一年前进行了防御,对http auth貌似也纳入同源策略范围中,当要求http auth的页面元素和当前浏览页面不一致时,不进行弹窗。(A)测试方法:(1)a域名在iis 6中配置一个要求采取http basic验证登录的虚拟目录;(2)b域名的某页面插入a域名的目录访问url,然后访问之。(B)测试结果:(1)chrome早期版本的确会弹(采取Chromium 10.0.648.205[2011年4月版]验证);(2)chrome现版本(23.0.1271.95 m)不弹(参照测试:国内双核浏览器切换到极速chrome模式时不会弹,采取360极速浏览器5.1.0.520[基于Chromium 16.0.912.75 2012年1月版]、以及猎豹浏览器内测绿色版[2012年5月版]验证);(3)Firefox 15.0.1弹;(4)IE8弹(参照测试:未修补前,国内双核浏览器切换到IE兼容模式时都会弹,采取猎豹浏览器内测绿色版[2012年5月版]、以及360浏览器5.0版[2012年10月份版]验证)。(C)测试总结:(1)目前各国内厂商的所谓修补应该都是针对IE兼容模式下的临时参考性质补漏,因为默认采取IE兼容渲染居多;(2)有采取chrome内核的各国内浏览器在2012年1月份同步其Chromium内核后应该就没这个问题。(D)测试存在的缺陷:未测试ie9和ie10对双核浏览器的影响。

源链接

Hacking more

...