曲速未來:XSS使用Safari中的錯(cuò)誤以及為什么說黑名單是愚蠢的區(qū)塊鏈
曲速未來:研究人員發(fā)現(xiàn)一個(gè)Safari瀏覽器的bug,攻擊者可以利用該漏洞來繞過過濾器,從而發(fā)動(dòng)相應(yīng)的XSS攻擊。
Safari(蘋果公司研發(fā)的網(wǎng)絡(luò)瀏覽器):Safari是蘋果計(jì)算機(jī)的操作系統(tǒng)Mac OS中的瀏覽器,使用了KDE的KHTML作為瀏覽器的運(yùn)算核心。Safari 是一款瀏覽器、一個(gè)平臺(tái),也是對(duì)銳意創(chuàng)新的公開邀請(qǐng)。無論在 Mac、PC 或 iPod touch 上運(yùn)行,Safari 都可提供極致愉悅的網(wǎng)絡(luò)體驗(yàn)方式,更不斷地改寫瀏覽器的定義。
區(qū)塊鏈安全咨詢公司 曲速未來 消息:研究人員發(fā)現(xiàn)一個(gè)Safari瀏覽器的bug,利用該bug可以繞過瀏覽器的過濾器,并進(jìn)行XSS。之前也有研究人員發(fā)現(xiàn)過該漏洞,因此漏洞并不是第一次出現(xiàn)。
這是一個(gè)研究人員偶然發(fā)現(xiàn)腳本文件:
該頁面的目的似乎是重定向到移動(dòng)應(yīng)用程序。它采用redirect-parameter,根據(jù)黑名單檢查協(xié)議,如果沒有找到重定向到它。
為了利用這個(gè),就需要?jiǎng)?chuàng)建一個(gè)鏈接,它將作為Javascript執(zhí)行,而它的協(xié)議不是'javascript'。跟據(jù)所知的,根據(jù)瀏覽器規(guī)格,這是不可能的。但是,與所有軟件一樣,瀏覽器并不總是遵循規(guī)范。
研究人員首先專注于重定向部分。有一個(gè).toLowerCase()使用,是否可以使用一些unicode字符,當(dāng)它變成小寫時(shí)變成另一個(gè)?協(xié)議可以通過換行符進(jìn)行拆分但仍然可以正常工作嗎?
將焦點(diǎn)轉(zhuǎn)移到重定向部分
研究人員選擇專注于重定向部分而不是過濾器。
然后開始使用Safari。一般來說域名和URL-handling可能會(huì)存在漏洞,所以研究開始了分析之旅。
打開控制臺(tái),編寫了一個(gè)快速功能來模擬旁路:
`//`是Javaccript中的單行注釋,`%0a`是一個(gè)URL編碼的換行符,用于轉(zhuǎn)義注釋。
幸運(yùn)的是研究人員竟然發(fā)現(xiàn)成功了。因?yàn)楹诿麊沃袥]有指定空協(xié)議,因此可以繞過過濾器。
最終的有效負(fù)載是:`?redirect=javascript:// alert(document.domain)`。
該漏洞被報(bào)告給了許多使用SaaS服務(wù)的站點(diǎn),通過將其中一個(gè)子域指向服務(wù),它們本身就受其影響。其中一個(gè)受影響的站點(diǎn)聯(lián)系了SaaS供應(yīng)商,該漏洞很快就被上游修補(bǔ)了。Apple也聯(lián)系了這個(gè)bug。通常情況下,一切都會(huì)結(jié)束并被遺忘,但這次不是。
引發(fā)新漏洞的補(bǔ)丁
這很快被SaaS供應(yīng)商修補(bǔ),這意味著所有受影響的站點(diǎn)現(xiàn)在都是安全的了。但是,修復(fù)似乎打破了頁面的功能,研究人員認(rèn)為這是一個(gè)臨時(shí)修復(fù),所以繼續(xù)訪問該頁面,偶爾等待一個(gè)永久的解決方案。
幾個(gè)月之后,研究人員收到了一個(gè)鏈接到vpnMentor的文章,其中顯示臨時(shí)修復(fù)已被更永久的修復(fù)取代。然而,這又導(dǎo)致了新的XSS漏洞,這次是由vpnMentor發(fā)現(xiàn)的。
正則表達(dá)式
研究人員發(fā)現(xiàn)原來的payload還可以正常運(yùn)行。第二個(gè)漏洞的補(bǔ)丁會(huì)導(dǎo)致第三個(gè)漏洞的出現(xiàn),同樣的payload還可以正常起作用。但這并不是一個(gè)純DOM XSS,因?yàn)椴⒉粫?huì)在JS上讀取URL參數(shù),而是在服務(wù)端反射。
最新的解決方案
修復(fù)第三個(gè)漏洞的解決方案現(xiàn)在是將''和':'添加到黑名單中。研究人員想不出任何繞過這個(gè),但也許有一些?
很可能這個(gè)功能需要支持許多不同的自定義應(yīng)用程序協(xié)議,這使得使用白名單而不是黑名單或多或少是不可能的,否則強(qiáng)烈建議采用這種方法。
總結(jié)
區(qū)塊鏈安全咨詢公司 曲速未來 提醒:凡事做好筆記,俗話說的好,好記性不如爛筆頭。黑名單從來都不是一個(gè)很好的解決方案。在進(jìn)行漏洞修復(fù)時(shí)需要記錄第一次漏洞出現(xiàn)的原因以預(yù)防漏洞再次出現(xiàn)。蘋果公司在半年前最初被發(fā)現(xiàn)時(shí)被告知了協(xié)議錯(cuò)誤。但是,在Mac和移動(dòng)設(shè)備上最新版本的Safari瀏覽器中,該漏洞仍然存在。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。