Як зробити deface сайту за допомогою xss

Як зробити deface сайту за допомогою XSS +11

  • 26.05.17 1:25 •
  • w9w •
  • # 328276 •
  • Хабрахабр •
  • 2 •
  • 8200

- такий же як Forbes, тільки краще.

Deface сайту можна зробити, якщо ви отримали доступ до ftp, залили shell і тд, але також це можна зробити за допомогою звичайної XSS. У цій статті я хочу розповісти, як використовувати Stored XSS для того, щоб змінити вміст головної сторінки сайту або певної сторінки для того, щоб масово красти cookies у користувачів і робити редирект на свій сайт.

Як зробити deface сайту за допомогою xss
Вся інформація надана виключно в ознайомлювальних цілях. Я не несу відповідальності за будь-можливу шкоду, заподіяну матеріалами цієї статті.

1. Хуліганство, як самоствердження початківців хакерів.

3. Конкуренція між організаціями. Одна фірма приносить фірмі конкуренту іміджеві та репутаційні втрати через злом і дефейс їх сайту.

Stored xss на головній сторінці найчастіше зустрічаються (з мого досвіду) на сайтах, в яких на головній сторінці відображається активність користувачів. В основному це:

* Юзер додав фото 1.jpg;
* Юзер створив тему / блогпост;
* Юзер вступив в групу;
* Юзер додав користувача в друзі.

Як зробити deface сайту за допомогою xss

В такому випадку ми повинні знайти в особистому кабінеті місце, в якому в Post або в get запиті можна маніпулювати id-му користувача, змінювати дані і почати перебір по всіх можливих id. Важливо, щоб там була stored xss.

Ми можемо розмістити на головній сторінці скрипт крадіжки cookies. csrf експлойт і redirect на фішингових сайтів:

1) Скрипт крадіжки cookies

2) Редірект на фішингових сайтів уразливого сайту, посилання зі скачуванням бекдора або клон paypal / privat24 / sberbank / соц мережі:

Цікаво те, що якщо не використовувати редирект, а просто вантажити js на сторінку і красти куки, то довгий час уразливість може бути не поміченою.

Два приклади моїх deface з реального життя:

Раніше social.example.com представляла з себе cms старого покоління, в ній було багато xss, які з часом пофіксити, зараз зробили нову cms на angular. Я не знайшов жодної xss, вирішив перевірити на template injection, пейлоад> видав 4, визначивши версію angular, підібрав цей пейлоад

Але найголовніше - це дефейс головної сторінки. Коли додаємо пост, він відображається у всіх на головній - як у користувачів, так і у гостей. Зараз ми можемо тільки викликати alert.

Згадуємо про стару статті злому mcdonalds за допомогою template injection.

Висновок зі статті. У разі розкрутки xss в deface в bug bounty можна отримати набагато більше грошей за цю уразливість.