作者:SuperHei
"對于web應(yīng)用程序,很多程序?yàn)榱藢?shí)現(xiàn)一些功能比如程序升級/提醒,還有廣告什么的都直接在程序里使用了Third Party Content,那么當(dāng)官方等站被黑時(shí),基本使用你程序的用戶都被xx了,這個(gè)以后也有可能和crsf一樣成為一種vul呢?"
上面的文字引用于年前的一個(gè)blog:http://hi.baidu.com/hi_heige/blog/item/2700f9f93bc2d209d9f9fdbe.html,沒想到今天就有了實(shí)際例子了.今天n多dz論壇被掛上了"Hacked by ring04h, just for fun!",引起很大關(guān)注,最開始基本上都是認(rèn)為dz的程序出現(xiàn)了非常嚴(yán)重的漏洞,但是等官方的聲明一出來,原來只是"Discuz!服務(wù)器域名被劫持"....
其實(shí)我覺得這樣的問題,應(yīng)該把他歸為程序的vul[還有crsf也是],而且除了這個(gè)問題ring04h還利用了其他的一些'漏洞'
第一 Third Party Content
Discuz!_5.5.0_SC_GBK\upload\admin\global.func.php直接調(diào)用了第三方的js:
00436: $posts = $db->result($db->query("SELECT COUNT(*) FROM {$tablepre}posts"), 0);
00437: $msns = $db->result($db->query("SELECT COUNT(*) FROM {$tablepre}memberfields WHERE msn!=''"), 0);
00438: echo '';
直接用的script標(biāo)簽.
第二 變量缺少過濾
記得ms有句名言:"一切輸入都是有害的",但是對于web2.0的猥瑣攻擊時(shí)代,對于那些注意安全的程序員來說已經(jīng)不夠用了.我們應(yīng)該另外加一句話了:
"一切輸出也都是有害的"
ring04h攻擊代碼里的playload其實(shí)就是用了一個(gè)后臺插入js的問題,而前臺對這個(gè)值的輸出是沒有過濾的,導(dǎo)致再一次被xss,具體到這次的代碼:
ring04h還是比較厚道的 只是write了一句話,如果給他掛個(gè)馬 不知道要死多少pc...
我們小結(jié)下這次攻擊的流程:
1.ring04h控制了customer.discuz.net[這里不官他是域名劫持還是其他什么方法!:)]
2.構(gòu)造自己的js[利用ajax技術(shù)結(jié)合上面說的變量輸出未過濾的問題實(shí)現(xiàn)插入js修改主頁]
3.等待管理員登陸訪問后臺,然后執(zhí)行了構(gòu)造的js
給我們的一些提示:
1.如果dz代碼里不直接使用Third Party Content,或者對Third Party Content的內(nèi)容進(jìn)行過濾后使用呢?
2.如果customer.discuz.net足夠安全呢?
3.如果我所有輸入輸出的變量都嚴(yán)格過濾了呢?
對于2來說這個(gè)是太難了,這里也涉及到一個(gè)攻擊的成本與利潤的問題,如果攻擊者有商業(yè)利益驅(qū)使,他即使發(fā)大點(diǎn)的代價(jià)去黑了你這個(gè)3方內(nèi)容的主機(jī)也是值的,因?yàn)樗坏┏晒涂梢钥刂颇闼械目透?.[估計(jì)以后各大官方的升級主機(jī)可能是' '的目標(biāo)]
第3這個(gè) 還有很多的程序員不知道過濾變量,尤其是輸出的東西也需要過濾.
所以對于開發(fā)者來說,第1個(gè)是最方便有效果的方法? 不過同時(shí)還得注意程序員的安全意識的培養(yǎng).
說點(diǎn)8掛:
1.為什么sodb那么多漏洞,都沒有這次那么被關(guān)注呢?
2.dz的競爭對手門,沒有放過這次好機(jī)會(huì),但是他們不知道,其實(shí)他們自己的程序主機(jī)一樣有相同的問題 :)[看熱鬧或者起哄的同時(shí)想想自己!!]
3.出動(dòng)了人肉搜索:http://18dao.jamesqi.com/index.php?title=Ring04h%E5%9F%9F%E5%90%8D&variant=zh-tw
最后感謝ring04h給我們提供了一個(gè)這么好的實(shí)際例子,并分享演示了他的測試過程 thx.