• <em id="52tge"><object id="52tge"><blockquote id="52tge"></blockquote></object></em>

  • <progress id="52tge"></progress>
      
      
      <tbody id="52tge"><pre id="52tge"></pre></tbody>
      <em id="52tge"></em>
      <li id="52tge"><acronym id="52tge"><u id="52tge"></u></acronym></li>

      <nav id="52tge"><sub id="52tge"><noframes id="52tge"></noframes></sub></nav>

      網站地圖 | RSS訂閱 老鐵博客 - 上海SEO優化|上海網站建設|蜘蛛池出租|站群代搭建
      你的位置:首頁 ? 網站優化 ? 正文

      影響數千網站的第三方JavaScript庫文件漏洞分析

      2019-6-26 12:42:20 | 作者:老鐵SEO | 0個評論 | 人瀏覽

        *本文中涉及到的相關漏洞已報送廠商并得到修復,本文僅限技術研究與討論,嚴禁用于非法用途,否則產生的一切后果自行承擔

        當前,很多網站都會使用第三方特定Java庫的方式來增強網站的顯示應用功能,通常情況下,這種嵌入到網站中的庫可以方便直接地從第三方服務提供商的域中加載,實現對當前網站的優化和功能增強。然而,這種嵌入到很多網站中的第三方庫往往會是一個致命的攻擊面,可以導致嵌入網站更容易遭受一些潛在攻擊。

        本文披露了當前流行的第三方Java庫中的三個漏洞,鑒于這三個漏洞的嚴重性,可能會對嵌入這些流行庫的數千家機構網站造成影響。

        Datatables.net是一個專門提供表格HTML顯示的免費庫網站,其官網聲稱只要在你的網站中嵌入一個存儲在cdn.datatables.net的.js或.css文件,就能實現表格HTML化顯示。

        也就是說,如果大量的互聯網網站嵌入了這個存儲在.js或.css文件作為網站資源庫,那么,只要這兩個資源庫文件存在漏洞,那么相應的引用嵌入網站也就可能受到影響了。

        當瀏覽網服務后可知,其中的js庫文件會向遠端應用發起請求,這個遠端應用會在后臺生成并測試一些需要顯示的HTML表格。每次請求生成一個新表格之后,相應地也會生成并返回給目標網站一個php文件。我們利用.datatables.net這種生成php文件的過濾漏洞,可以在其中寫入某些參數,實現一定程度的RCE攻擊,例如,我們可在下述php創建機制的紅框內寫入RCE Payload:

        就這樣,的密碼文件/etc/passwd就被直接讀取出來了,另外,經驗證,可利用該漏洞讀取 cdn.datatables.net上其它敏感文件。這種第三方庫提供商的RCE加文件讀取的漏洞讓人浮想聯翩,當然,嵌入這些庫文件的大量網站,其受影響程度也想想都后怕了。

        Tealium iQ公司提供的智能標簽管理解決方案,專門對數據標簽進行有效管理,只要一個Tealitma IQ標簽,就可取代網站上所有商家的標簽,實現對營銷解決方案的在線控制。如以下Uber網站就引用嵌入了Tealium iQ的標簽服務:

        這里存在的漏洞是,Tealium iQ標簽服務對網站輸入的配置文件名(Profile Name)數據處理不當,問題在于,Tealium iQ遠端服務允許 / 和 . 兩種特殊字符在Profile Name中存在。

        可以利用這兩種字符來操控那些加載配置文件的目錄,例如,如果配置文件名稱中有../../utag/uber/main,那么,其相應的js代碼就會向上傳到中形成這樣,它將被嵌入到任何利用Tealium iQ的Uber網站頁面中。

        該漏洞已在Uber漏洞眾測項目和其它Bug賞金平臺提交上報過,在此,我編寫了以下簡單的代碼,通過它可以更改任意tags.tiqcdn.com上的js文件,實現對tags.tiqcdn.com的目錄遍歷。

        提供專門的流行圖表繪制顯示服務,在金融和加密貨幣交易平臺應用相較廣泛,可以說,大多的加密貨幣交易平臺都使用了它提供的圖表服務庫顯示了在線日,名為Victor Zhu的安全研究人員,所有引用嵌入其庫文件的加密貨幣網站都受到影響。

        任何引用嵌入TradingView庫文件的網站中都會存在一個可被公開訪問的,樣式為tv-chart.html的文件,這個html文件通過location.hash參數來初始化交易圖表,圖表初始化完成之后,指向以下類型頁面的iframe鏈接將被加載到網站頁面上:

        漏洞就在于,TradingView庫文件的一個第三方圖表加載函數中,該函數從目標網站輸入的indicatorsFileparameter中獲取一個鏈接,并傳輸到了$.get中:

        那么,可以在其中的獲取鏈接上做文章,在其中注入遠程js文件,實現惡意目的,如:

        當用戶訪問了這條鏈接之后,遠程的xss.rocks/xss.js就會加載運行讀取用戶Cookie:

        當該漏洞被披露后,TradingView釋放了一個新版本的庫文件進行替代修復,其中之前負責加載第三方圖表的函數被做了修改替換,修改后的函數如下:

        但是,這種修復方法依然存在漏洞,在添加uid=urlParams參數時,可以使用thecustomIndicatorsUrl參數復現之前出現的漏洞,構造的最終Payload如下:

        之后,TradingView再次對庫文件進行了修復,終于完全堵塞了漏洞。但是,一些加密貨幣交易平臺仍然在用存在漏洞的庫文件版本,經對當前所有的加密貨幣交易平臺進行了測試后發現,包括CoinMarketCap和一些交易量較大的90多家平臺仍然存在TradingView庫文件的上述Dom Based XSS漏洞,TradingView對這些平臺進行了及時告知,但卻:

        作為安全人員來說,當測試Web應用安全性時,應該把其中使用的第三方產品或程序考慮在內,它們同樣至關重要;作為網站運營方來說,要慎重使用嵌入引用的第三方庫文件。

    1. 本文來自: 老鐵博客,轉載請保留出處!歡迎發表您的評論
    2. 相關標簽:網站優化  
    3. 已有0位網友發表了一針見血的評論,你還等什么?

      必填

      選填

      記住我,下次回復時不用重新輸入個人信息

      必填,不填不讓過哦,嘻嘻。

      ◎歡迎參與討論,請在這里發表您的看法、交流您的觀點。

      色情激情片日本大全|亚洲无码色情gif|六人行成人版第九影院|亚洲成人电影理论电影

    4. <em id="52tge"><object id="52tge"><blockquote id="52tge"></blockquote></object></em>

    5. <progress id="52tge"></progress>
        
        
        <tbody id="52tge"><pre id="52tge"></pre></tbody>
        <em id="52tge"></em>
        <li id="52tge"><acronym id="52tge"><u id="52tge"></u></acronym></li>

        <nav id="52tge"><sub id="52tge"><noframes id="52tge"></noframes></sub></nav>