XSS от Яндекс на обед

Discussion in 'Песочница' started by LoveBug, 25 Jun 2022.

  1. LoveBug

    LoveBug Member

    Joined:
    19 Jun 2022
    Messages:
    4
    Likes Received:
    6
    Reputations:
    1
    Необычный способ найти XSS-инъекцию за одну минуту
    Всем привет! Я думаю, что многие разработчики слышали, что нельзя доверять никакому вводу пользователя, и это действительно так. Однако есть некоторые места, которые часто упускаются из виду, что приводит к уязвимостям.

    И одно из таких мест ……. регистрация [​IMG]. Возможно, это не то, что вы хотели услышать, но позвольте мне объяснить.

    При регистрации нового пользователя или обновлении его данных разработчики не забывают валидировать поля ввода, но что будет, если мы поместим полезную нагрузку прямо в аккаунт Google (в поля имени и фамилии), а затем зарегистрируемся на сайт через этот аккаунт? Мы можем получить сохраненный XSS.

    Перейдем к примеру
    Около месяца назад я начал свое исследование одной из программ вознаграждения за обнаружение ошибок, и с их разрешения я могу раскрыть подробности. это был TimeWeb Ltd — российский хостинг-провайдер.

    Как всегда, я начал с регистрации учетной записи, чтобы расширить сферу своей деятельности. Чтобы сэкономить время, я решил зарегистрироваться через социальные сети, используя для этого аккаунт Яндекса (Яндекс — российский аналог Google), где мое полное имя «>{{7*7}}<img>



    [​IMG]
    И после регистрации через эту вредоносную учетную запись Яндекса, в моем общедоступном профиле TimeWeb я увидел «>49<img>. Код выполнен, значит, мы можем провести XSS-атаку. Нам просто нужно зарегистрировать учетную запись Яндекса со следующим именем:

    Код:

    {{constructor.constructor(‘alert(`XSS`)’)()}}

    Но вот проблема. Мы не можем зарегистрировать такой аккаунт из-за ограничений на количество спецсимволов в поле имени. Решение довольно простое, разделите полезную нагрузку на две части, одну часть для имени, а другую для фамилии. А поскольку полное имя находится в одном теге <span>, полезная нагрузка будет объединена.


    [​IMG]
    Нам достаточно зарегистрироваться через учетную запись Яндекса на целевом сайте.

    И Бум…. У нас есть XSS-уязвимость.


    [​IMG]
    Мне также удалось взломать довольно много сайтов таким образом.

    PS:
    Учетная запись Google не может использоваться для использования XSS, поскольку Google ограничивает ввод некоторых символов, но ее все же можно использовать для поиска множества других ошибок. Однако есть несколько других сервисов, таких как Steam, Amazon, которые могут быть полезны для подобных атак.

     
  2. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    676
    Likes Received:
    1,476
    Reputations:
    448
    Каким образом сайт взламывается при XSS?
     
  3. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,794
    Likes Received:
    888
    Reputations:
    862
    Знакомый почерк. Вы случайно не сдавали нам "баги" на наших ресурсах недавно?
     
    _________________________
  4. b3

    b3 Moderator

    Joined:
    5 Dec 2004
    Messages:
    2,086
    Likes Received:
    1,019
    Reputations:
    201
    взломал полностью структуру DOM
     
    _________________________
    crlf likes this.
  5. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,578
    Likes Received:
    1,310
    Reputations:
    1,557
    Данные, получаемые напрямую от юзера, все уже привыкли фильтровать. А то, что получают через API со сторонних ресурсов, часто вообще не проверяют. Так что тема достаточно актуальна.
    Сама XSS тоже неплохая. Выполняется на основном домене, поэтому можно обращаться к любым поддоменам. Только ограниченная длина кода мешает.
     
    Раrаdох likes this.
  6. Shawn1x

    Shawn1x Elder - Старейшина

    Joined:
    24 Aug 2007
    Messages:
    297
    Likes Received:
    511
    Reputations:
    13
    ТС получил багбанти выплату в 100 баксов?