web-dev-qa-db-ja.com

DOMベースのXSS攻撃で悪意のあるURL /ペイロードがユーザーに配信されるのはなぜですか?

DOMベースのテスト OWASPでのXSS読み取り:

最初の架空の例では、次のクライアント側コードを使用しています。

<script>
document.write("Site is at: " + document.location.href + ".");
</script>

攻撃者は、影響を受けるページのURLに#alert( 'xss')を追加し、実行すると警告ボックスが表示される可能性があります。

と他のサイトは非常に類似した例について話します。

問題は、悪意のあるURL /ペイロードがどのようにユーザーに配信されるかについての説明が見つからないことです。たとえば、ユーザーがこの攻撃の犠牲になる可能性があるのは、クライアントベースの攻撃であり、サーバーとの対話が不要だからです。フィッシングはDOM XSSにも使用されますか?

また、攻撃者はDOMベースのXSS脆弱性の可能性があるサイトをどのように特定するのですか?

web-applicationweb-browserxssjavascriptvulnerability
4
microwth

あなたが言及したリンクは、DOM-XSSが事実上のXSSであると言っています。これは単に、XSSで [〜#〜] dom [〜#〜] に挿入されるスクリプト(JavaScriptなど)を実行していることを示しています。

悪意のあるURL /ペイロードがユーザーに配信される方法

場合によっては( reflected XSS )フィッシングです:「ちょっとこのwebsit.com?p=[XSSペイロード]をチェックしてください」フィッシングされたユーザーがサイトにアクセスすると、スクリプトがブラウザで実行されます。

その他の場合( stored XSS )スクリプトを保存することができる場合があります。たとえば、サイトの他のすべての訪問者に表示されるコメントボックス:「ねえ、これは素晴らしいサイトです![XSSペイロード]。これで、ユーザーがサイトにアクセスしてコメントが表示されると、悪意のあるスクリプトもブラウザーで実行されます。

どちらの場合も、JavaScriptを挿入しましたが、そのペイロードは実際にはテキストとしてエンドユーザーに表示されません。ただし、スクリプトはエンドユーザーのブラウザーで実行されます。スクリプトのペイロードは、単純なアラートボックスの場合もあれば、セッション認証Cookieを、制御するサーバーに送信するペイロード(「ログイン」できるようにするもの)でも、 その他の数 でもかまいません。 。

攻撃者は、DOMベースのXSS脆弱性の可能性があるサイトをどのように特定しますか?

Burpについてはすでに触れましたが、これは素晴らしいツールです。

XSSのテスト/理解を始めるための基本的な方法は、ページを表示するときに「どのデータを制御し、どのデータを表示するか」を自問することです。スクリプトインジェクションのこれらのデータポイントをテストできれば、XSSを理解する準備ができています。一般的な基本的なXSS攻撃に対して脆弱なデータポイントは、コメント、ユーザー名、プロファイルの詳細、エラーメッセージ、および検索パラメーターです。

3
KDEx

最初に2つ目の質問にお答えします。攻撃者は、他の脆弱性と同様にDOMベースのXSS脆弱性を特定しますが、コードがクライアント側であるため、JavaScript分析ツールも使用する可能性があります。ハッキングツールまたは自動スキャナーを使用してサイトを調査する。自動化されたスキャナーは、大規模なサイトではあまり実行されない可能性が高いです。自動スキャナーは、これらを自分で実行し、発生した問題を修正していたからです。

Burp などのツールを使用して、または fuzz パラメータを操作したり、コードを分析したりして、サイトの応答を調べることができます。

ペイロードがビティムに送信される方法について...質問は、DOMベースの反射XSSだけではなく、すべての reflected XSS 攻撃に関するものだと思います。ペイロードを送信できます:

  • フィッシングメールで被害者に送信されたリンクを介して。
  • 潜在的な被害者である可能性が高い人々をクリックするように人々を誘惑するフォーラムに投稿されたリンクを介して(ebayサイト自体への攻撃のためのebayフォーラムなど)。
  • 侵害されたWebサイトからユーザーをリダイレクトする。
  • XSS URLがクリックされたときに移動先として使用される有料広告。
2
SilverlightFox

問題は、悪意のあるURL /ペイロードがどのようにユーザーに配信されるかについての説明が見つからないことです。

例として、PaypalにXSSの脆弱性があります。

あなたが述べたように、それはフィッシングの形態を介して配信することができます。多くの人々は、Paypalを装ったページに個人情報を入力しないように十分に気づいています。「Paypal.com」が表示されている限り、URLを恐れる人は少なくなります。

攻撃は他のさまざまな方法で配信される可能性があります。いくつかの例を概説しました

  • 攻撃者はPaypalコミュニティフォーラムに短縮された攻撃URLを投稿し、エラーの助けを求めます
  • 攻撃者は病気の利益のために広告ネットワークで広告を公開し、実際には攻撃URLにリンクします
  • 攻撃者は、stackexchange.comを危険にさらし、すべてのトラフィックをリダイレクトしてURLを攻撃します。

また、攻撃者はDOMベースのXSS脆弱性の可能性があるサイトをどのように特定するのですか?

これらの脆弱性は他の脆弱性と同様に見つかります。人々は監査に多くの時間を費やしています。バグ報奨金、ブログトラフィック、およびサイバー犯罪シンジケートを含みます。この種のものの監査から利益を得る多くの方法があります。

1
Ammar Bandukwala