Bữa ngồi chán chường, không có gì làm, mình có dạo một vòng website nhaccuatui.com
Ngoài bug XSS kia, mình cũng tìm được một lỗi khác có impact là cướp token của một user nếu họ bị lure vào một trang web của attacker dựng nên một cách trực tiếp hay gián tiếp (iframe chẳng hạn).
Source exploit có bạn có thể xem tại: https://l4w.io/files/nct/nct.html
Bug đơn giản thôi, nhưng mình nghĩ đây là một cơ hội tốt để cho các bạn thấy một ví dụ thực tế từ nó.
Cross-Site Script Inclusion (XSSI)
Nôm na là với bug này, nếu trên server có serve những đoạn script mà ta có thể (hoặc có trường hợp thậm chí là không cần) tác động bằng cách truyền tham số vào để thay đổi đoạn script đó đi thì có thể lợi dụng nó bằng nhiều cách khác nhau, không chỉ riêng là leak một cái gì đấy.
Nhìn hình dưới đây:
Vậy bạn có thể thấy rằng parameter jsoncallback
ta có thể control được, vậy tức là mình có thể tạo một file html với nội dung:
1 2 3 4 5 |
<html> <body> <script src='https://sso.nct.vn/auth/check-login?jsoncallback=bleh'></script> </body> </html> |
Browser sẽ lấy nội dung của URL đó vào đem về chạy.
Tất nhiên nếu thậm chí bạn inject vào là alert(document.domain);//
thì context của script vẫn chỉ là trên website của bạn (ở đây là: l4w.io), không thể nào biến nó thành XSS được, nó chỉ lấy nội dung script tại địa chỉ đó để đem về chạy trên context của host mình.
Nhưng bạn thấy arguments của function bleh
đang là một object và có chứa thông tin của user, ở đây đó là token!!!
sửa chữ bleh lại thành console.log
Vậy bây giờ ta chỉ đơn giản là define một function tên bleh
có nhiệm vụ là trích xuất data['token']
bước còn lại là ghép token với đường dẫn mà nct.vn và nhaccuatui.com dùng để liên kết với nhau.
Chi tiết bạn có thể xem PoC trực tiếp tại đường link: https://l4w.io/files/nct/nct.html
Mình đã report và bên họ đã fix (ít nhất là với bug trên), kèm theo là một phản hồi tích cực.
Hi vọng nó giúp bạn phần nào có lòng tin hơn với việc report lỗi cho những website do chính người Việt tạo ra. Peace.
Bạn có tham khảo thêm một bài viết về lỗi này nữa tại đây:
Backdoor of All Flickr API Calls by XSSI
Be First to Comment