Сущность атак межсайтового скриптинга (XSS) – непроверяемые данные. С этой точки зрения каждое приложение, которые выводит входные данные является потенциально уязвимым и может быть эксплуатировано атакующим для кражи идентификаторов сессий, принуждения пользователей к злонамеренным действиям, сбора важной информации и т.д.
В этой статье я опишу новый вектор XSS атак, который хоть и относится к отраженным атакам, но на самом деле является более опасным, чем хранимый XSS. Данный метод может использоваться для обхода почтовых фильтров, XSS фильтров, межсетевых экранов и функций проверки данных. Более того, если вы просматриваете злонамеренное сообщение с помощью уязвимого к XSS просмотрщика RSS каналов, вы можете нажать на следующую ссылку и увидеть результат работы функции alert().
Название самодостаточный XSS полностью объясняет тип атаки. Эта атака не требует наличия XSS уязвимости в web приложении. Все, что требуется для ее проведения содержится в одном URL. После выполнения URL ресурс будет автоматически ассемблирован.
Злонамеренная ссылки должна начинаться с data: протокола и специально сформированной строки. В современных браузерах существует поддержка множества протоколов: http:, https:,ftp: и about:, но протокол data: является самым функциональным, поскольку позволяет AJAX приложениям генерировать PDF, DOC, MP3 и другие форматы без нужды в серверной поддержке сценариев. Спецификация этого протокола описана в RFC2397.
Следующий пример демонстрирует огромные возможности url схемы data: и объясняет возможную угрозу безопасности. Введите в браузере следующее. НЕ БЕСПОКОЙТЕСЬ ТАМ ПРОСТО АЛЕРТ
Воздействие самодостаточного XSS на много больше, чем можно себе представить. Эта технология позволяет создавать исполняемые файлы с помощью JavaScript. JavaScript теперь могут создавать DOC или PDF файлы, содержащие злонамеренный код и эксплуатирующие переполнения буфера в уязвимых приложениях. Данный вид атак был испытан мной на нескольких сайтах, рсс каналх.
В этой статье я опишу новый вектор XSS атак, который хоть и относится к отраженным атакам, но на самом деле является более опасным, чем хранимый XSS. Данный метод может использоваться для обхода почтовых фильтров, XSS фильтров, межсетевых экранов и функций проверки данных. Более того, если вы просматриваете злонамеренное сообщение с помощью уязвимого к XSS просмотрщика RSS каналов, вы можете нажать на следующую ссылку и увидеть результат работы функции alert().
Название самодостаточный XSS полностью объясняет тип атаки. Эта атака не требует наличия XSS уязвимости в web приложении. Все, что требуется для ее проведения содержится в одном URL. После выполнения URL ресурс будет автоматически ассемблирован.
Злонамеренная ссылки должна начинаться с data: протокола и специально сформированной строки. В современных браузерах существует поддержка множества протоколов: http:, https:,ftp: и about:, но протокол data: является самым функциональным, поскольку позволяет AJAX приложениям генерировать PDF, DOC, MP3 и другие форматы без нужды в серверной поддержке сценариев. Спецификация этого протокола описана в RFC2397.
Следующий пример демонстрирует огромные возможности url схемы data: и объясняет возможную угрозу безопасности. Введите в браузере следующее. НЕ БЕСПОКОЙТЕСЬ ТАМ ПРОСТО АЛЕРТ
Код:
data:text/html;base64,PHNjcmlwdD4gYWxlcnQoIkhlbGxvIGZyb20gRnJlYWsiKTsgPC9zY3JpcHQ+
Воздействие самодостаточного XSS на много больше, чем можно себе представить. Эта технология позволяет создавать исполняемые файлы с помощью JavaScript. JavaScript теперь могут создавать DOC или PDF файлы, содержащие злонамеренный код и эксплуатирующие переполнения буфера в уязвимых приложениях. Данный вид атак был испытан мной на нескольких сайтах, рсс каналх.