陌生链接不能点!!!——XSS漏洞取证分析
2023-12-24 09:2:17 Author: 网络安全与取证研究(查看原文) 阅读量:9 收藏

点击上方「蓝字」关注我们

近期我司接到多起技术咨询,用户反映点击访问XX官方网站的链接后,打开的却是一个广告。技术人员查看链接后发现,这些链接实际上包含了广告代码,通过诱导用户点击,服务器在接收请求后会将带有广告的代码返回至用户浏览器执行,这属于典型的利用XSS(跨站脚本攻击)漏洞进行的活动
01

跨站脚本攻击(Cross-site scripting,XSS)是一种在web应用中的计算机安全漏洞,攻击者可以利用这种漏洞在目标用户的网站上执行恶意脚本,通过在网页中注入恶意代码,目标用户浏览该页面时,恶意代码会被执行。根据开放式 Web 应用安全项目(OWASP),XSS 在 2017 年被认为 10 种最常见的 Web 应用程序漏洞之一,典型的XSS攻击可导致盗取账户或对浏览器攻击(如:恶意下载软件)

恶意代码未经过滤,与网站正常的代码混在一起,浏览器无法分辨哪些脚本是可信的,导致脚本被执行

02

XSS漏洞可以大概分为三个类型:反射型XSS、存储型XSS、DOM型XSS

当用户在网站的地址栏输入URL,从服务器端获取到数据时,网站页面会根据返回的信息而呈现不同的返回页面,如果这个时候攻击者在页面中输入的数据不经过验证且不经过超文本标记语言的编码就录入到脚本中,就会产生漏洞

攻击者发现网站漏洞后,通过各种方式,将含有XSS代码的链接发送给目标用户,当目标用户访问链接时,服务器接收目标用户请求并进行处理,然后服务器做出响应,将带有XSS代码的数据发送给目标用户的浏览器,浏览器通过解析带有XSS的代码的脚本,就会触发攻击者设置的“陷阱”。

其原理为:

取证要点

反射型XSS需要服务器做出响应,一般情况下,服务器上会留下响应记录。可通过搜索网站日志文件,查找带有XSS参数的链接请求日志进行取证

存储型XSS也叫持久型跨站脚本也等于存储型跨站脚本,比反射型XSS更具威胁性,并且可能影响到Web服务器自身的安全

此类XSS不需要用户单击特定的URL就能执行跨站脚本,攻击者事先将恶意代码上传或存到漏洞服务器中,只要受害者浏览包合此恶意代码的页面就会执行恶意代码。

其原理为:

取证要点

该类型最重要的是注入恶意代码,可对服务器的异常访问痕迹,修改痕迹进行检验、取证

DOM 型 XSS 攻击,实际上就是网站前端 JavaScript 代码本身不够严谨,这种漏洞存在于页面中客户端脚本自身,也就是web开发人员在编写网页脚本时无意间造成的错误。

如(以跨站脚本攻击靶场为例):

通过查看网页源码,发现未对用户的输入进行过滤。

在链接中加入js标签,即可触发弹窗,表明存在XSS漏洞。

取证要点

该类型是通过前端完成,不经过服务器,主要是对客户端脚本进行分析

03

1、刷流量,执行弹窗广告

判例源自“中国裁判文书网”

https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=+USauTDaXxVPl1kSaoNlNsI8aIT/uKiN9ns0nP5wbE+II0CIsvzKLJO3qNaLMqsJpO0dqE1uwpNXzheOhOqpBm8Iouh7Sdm6rAIMEyOLzCkq/KLHCAaTo6JDVFfzlY48)

2、劫持用户会话,执行操作

判例源自“中国裁判文书网”

https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=fEJK6mZ0fL36g5KJxq5s08/P2pZ/Cm0qkf1b7t5GRePSTz7p5P2xbZO3qNaLMqsJpO0dqE1uwpNXzheOhOqpBm8Iouh7Sdm6rAIMEyOLzClGTLRGHPjLaTzkzsFsnUpO

3、盗取各种用户账号

判例源自“中国裁判文书网”

https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=huIWvFi20Hdf7yzIib7RRPhHtotyJpit9S6zYZOmiIFWoOLIoKprQJO3qNaLMqsJpO0dqE1uwpNXzheOhOqpBm8Iouh7Sdm61M4Eb21ZLN3Yx9s+n2Zrg/zqxwGEAMds

判例源自“中国裁判文书网”

https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=WNpqWXMXHB10RJ2ang2U+twCfJ1aTVMCYC4UJcwVLQ8Z0S3BDOJ+55O3qNaLMqsJpO0dqE1uwpNXzheOhOqpBm8Iouh7Sdm61M4Eb21ZLN2OD/HcjjjMZdMEUt2K0SrX

XSS攻击的漏洞和技术不断变换,持续的安全审查、更新对抗XSS攻击技术提升以及网络攻击的取证非常重要。如您遇到类似利用漏洞、入侵等情况可致电我司,我司可为您提供应对及取证策略,协助您第一时间收集、固定关键证据

END


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3NTU3NTY0Nw==&mid=2247488397&idx=1&sn=63323228010ded11209a78a7008434a1&chksm=ce35cb60efbaf48cc2dae15741255c2223e018d4c6b180433025f3897dcff819466c1f095a64&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh