1) О чем речь.
Добавляя каждое сообщение у нас есть возможность добавить медиафайл со сторонних ресурсов.
Я обнаружил, что в списке доступных к добавлению присутствует сайт JsFiddle, который позволяет исполнять js-код.
Для эксплуатации уязвимости нам понадобится создать сниппет на этом сайте.
2) Реализация.
Сейчас я продемонстрирую код, который позволяет собирать айпи юзеров. Так как многие используют клирнет домены для рутор, это может быть чревато.
Нам понадобится учетка с подтвержденной почтой на этом сервисе - https://www.abstractapi.com/api/ip-geolocation-api
С которой мы возьмем ключ апи. К примеру мой ключ 1ee456bcebb8456589c0771eec8b4ea0
И создадим шаблон здесь https://jsfiddle.net/boilerplate/jquery
JavaScript:
let apiKey = '1ee456bcebb8456589c0771eec8b4ea0';
$.getJSON('https://ipgeolocation.abstractapi.com/v1/?api_key=' + apiKey, function(data) {
console.log(JSON.stringify(data, null, 2));
});
Добавляем это в раздел javascript в jsfiddle. Данный код относительно безобиден и выведет ваш же собственный айпи в вашем браузере в консоль разработчика. Но его легко дополнить и отсылать на какой-нибудь удаленный сервер и сохранять в бд.
3) Эксплуатация
Пишем письмо в лс. Или паблик пост о какой-нибудь интересной вещи. Добавляем туда ссылку на наш jsfiddle через добавления media. В качестве контента html в jsfiddle может быть что угодно. Красивая картинка , страница и тд.
Те кто просмотрят ваш пост или сообщения будут хакнуты. И получен их айпи. JS-зло)
Можете проверить на себе. Нажимать кнопку для получения ip не обязательно. Ваш браузер сразу делает запрос,когда вы просматриваете этот контент.
Сам js-код естественно можно замаскировать, чтобы это выглядело просто как демонстрация чего-то нужного юзеру.
Вывод:
Надо срочно фиксить. Используя данный метод можно собирать не только айпи адреса, а также кукисы сессий и вообще много чего.
Временно рекомендую отключить добавление медиа со сторонних сайтов.
Кстати работает в том числе в лс, то есть адресно для каждого юзера.
В статье я не стал публиковать отсылку вашего айпи куда-либо, однако это также легко сделать.
https://jsfiddle.net/jho3znq2/2/ Ссылка на сам сниппет. Чтобы перейти к консоль разработчика браузера жмем f12 и там ваши ip и доп данные увидите
Добавляя каждое сообщение у нас есть возможность добавить медиафайл со сторонних ресурсов.
Я обнаружил, что в списке доступных к добавлению присутствует сайт JsFiddle, который позволяет исполнять js-код.
Для эксплуатации уязвимости нам понадобится создать сниппет на этом сайте.
2) Реализация.
Сейчас я продемонстрирую код, который позволяет собирать айпи юзеров. Так как многие используют клирнет домены для рутор, это может быть чревато.
Нам понадобится учетка с подтвержденной почтой на этом сервисе - https://www.abstractapi.com/api/ip-geolocation-api
С которой мы возьмем ключ апи. К примеру мой ключ 1ee456bcebb8456589c0771eec8b4ea0
И создадим шаблон здесь https://jsfiddle.net/boilerplate/jquery
JavaScript:
let apiKey = '1ee456bcebb8456589c0771eec8b4ea0';
$.getJSON('https://ipgeolocation.abstractapi.com/v1/?api_key=' + apiKey, function(data) {
console.log(JSON.stringify(data, null, 2));
});
Добавляем это в раздел javascript в jsfiddle. Данный код относительно безобиден и выведет ваш же собственный айпи в вашем браузере в консоль разработчика. Но его легко дополнить и отсылать на какой-нибудь удаленный сервер и сохранять в бд.
3) Эксплуатация
Пишем письмо в лс. Или паблик пост о какой-нибудь интересной вещи. Добавляем туда ссылку на наш jsfiddle через добавления media. В качестве контента html в jsfiddle может быть что угодно. Красивая картинка , страница и тд.
Те кто просмотрят ваш пост или сообщения будут хакнуты. И получен их айпи. JS-зло)
Можете проверить на себе. Нажимать кнопку для получения ip не обязательно. Ваш браузер сразу делает запрос,когда вы просматриваете этот контент.
Сам js-код естественно можно замаскировать, чтобы это выглядело просто как демонстрация чего-то нужного юзеру.
Вывод:
Надо срочно фиксить. Используя данный метод можно собирать не только айпи адреса, а также кукисы сессий и вообще много чего.
Временно рекомендую отключить добавление медиа со сторонних сайтов.
Кстати работает в том числе в лс, то есть адресно для каждого юзера.
В статье я не стал публиковать отсылку вашего айпи куда-либо, однако это также легко сделать.
https://jsfiddle.net/jho3znq2/2/ Ссылка на сам сниппет. Чтобы перейти к консоль разработчика браузера жмем f12 и там ваши ip и доп данные увидите
