• XSS.stack #1 – первый литературный журнал от юзеров форума

UserAgent XSS

Отслеживать
Wolfomeo

Wolfomeo

RAID-массив
Пользователь
Регистрация
15.05.2011
Сообщения
81
Реакции
4
Всем привет (=

В процессе использования плагина к Firefox _http://chrispederick.com/work/user-agent-switcher/, пришла такая вот гениальная задумка :D :

19f47245ec7d.png


..перейдя по _http://SPOILERme.ru/ip/ увидел следующее:

cbaf5942d495.png


С подобного трюка есть толк, или же "пустышка"? :crazy:
 
Wolfomeo
Помоему пустышка (мне тоже встречалось в некоторых местах). Как ты сможешь в процессе раскрутки заставить конечного пользователя сменить UA?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Wolfomeo
да нет. На самом деле, такое очень очень часто практикуется при похеке сложных сайтов, движки которых во многом самописны.
1) Себе в заголовки User-agent и Via, пишешь более-менее независимый js-перевертышь, который бы завелся, окажись он внутри параметра, или снаружи, окруженный лишь тегами.
2) идешь на сайт, и гадишь там всюду (всмысле не топики срешь, а тыкаешься, суешь кавычки, и все-все-все, чтобы тебя записали куда-нибдь в логи)
3) сидим и пьем чай, возможно чай придется пить несколько недель, пока админ не глянет куда-то там у себя, в лог посещений, или твой профиль (где ему отобразится твой ip, который, благодаря умному фреймворку, возьмется из Via, но не фильтранется), и ждем куки.
4) ну профит =)
 
Aels
Интересная мысль, да. Но предполагает, конечно, что при выводе админу оно тоже выведется в сыром виде. Но вот
возьмется из Via
это ведь заголовок навроде X-Forwarded-For? Ещё остались те, кто не обжёгся на определении "реального IP пользователя" из подобных заголовков? :)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
DASM32
Ещё остались те, кто не обожёгся на определении "реального IP пользователя" из подобных заголовков?
Остались, около года назад смотрел статью в блоге jen140 (сейчас уже неактивном), там было про взлом какой-то партнерки или тдс(?) через такой трюк с X-Forwarded-For.
На самом деле, уровень большинства веб-мастеров очень и очень низкий, факт. Посмотрите хотя бы сорцы админок популярных ботов, там нередко есть этот заголовок.
 
в пассивном своем проявлении такая XSS бесполезна. но, как сказал Aels - такая XSS актуальна только в активном векторе эксплуатации, когда User-Agent записывается куда-то, после чего считывается и без фильтрации и выводится на страницу. как правило, это какие-то логи, да.
 
10 строчек сканер
Чтобы делал запросы к топ сайтам с usera genet в виде скрипта JavaScrip который собирает все данные и скидывает на гейт.
и ждем отстуков часто юзер агенты сохроняются и просматриваются в админке. только надо подумать что то с криптом чтоб waf не ловили. и ч размером думаю внедрение
чегото вроде ссылки на скрипт <script src=

Также можно и другие заголовки подменять часто напрмер client-ip
 
Тема вполне актуальная, на самом деле. Есть смысл втыкать это во все нестандартные места. Плюс в том, что обычно это всплывает в админках, статах и прочем. Втыкайте готовый скрипт на сниффер и вперед - что-нибудь, да попадется.
 
farooooox
ну во-первых - ты не знаешь чем конкретно я просматриваю. У разного софта разный срыв будет.
Во-вторых - мне кажется nginx срежет сам слишком длинную строку.
 
Тема точно актуальна, ибо позавчера я именно такую дыру и нашел (один человек просил проверить его сайт). Но не думаю, что это распространенный баг.
 
farooooox Ты очем ?
Поставте ему минус я не нашол кнопку.

А посикрету сакажу что тема актуальна асобенно client-ip
Видел как билинги заявляли что зашли с северной кореи ;)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх