Cross Site Script Inclusion(XSSI) – Un nou tip de atac!

In urma cu cateva zile un utilizator al forumului RSTCenter(asa imi place sa ii spun), a dat definitia unui nou tip de vulnerabilitate destul de recent gandita ,iar aceasta se numeste “Cross Site Script Inclusion”, prescurtata si XSSI. In continuare aveti toate detaliile legate de acest tip de atac, de la “Domnul.Do”, un utilizator al forumului.

Descriere:
==============
Am cautat o variatie de la user la user in structura site-ului si am gasit.Dar prima data o descriere a XSSI-ului :

Dupa definitia mea un XSSI (Cross Site Script Inclusion) este: o vulnerabilitate server-side care consta in accesare unei resurse pe un domeniu diferit , redand acea resursa in domeniul respectiv.

Acest P.o.C se refera la un tip se vulnerabilitate numita “Information Leakage” deoarece poate verifica daca un user are o anumita valoare a parametrului “u” .
Acest concept este adresat userului care are avatar.

Exploit:
==============
Avatarul user-ului de pe care sunteti poate fi accesat si prin :

Code:
rstforums.com/forum/image.php?u=95563&type=profile

Dar acest url este mai special deoarece numai respectivul care are valoare parametrului “u” egala cu 95563 (in cazul de fata user-ul meu) poate sa vada acest avatar. Daca “u” este diferit de “95563” atunci o sa apara un pixel cu dimensiunea 1×1 .
Acesta variatie se poate vedea cross-domain prin “width” si “height” avatarului.

Ce inseamna asta:
Daca administrati un site care este visualizat de 5 useri logati in rsforums.com , puteti sa identificati unul sau toti (daca detineti valoarea parametrului “u” corecta).

P.o.C:
==============
E un P.o.C raw dar isi indeplineste scopul:
Edit this Fiddle – jsFiddle

Daca aveti “u”-ul egala cu “95563” atunci o sa apare 86×100 (nu o sa fie cazul) daca nu aveti “u”-ul respectiv o sa apara 1×1 .

Remediere:
==============
Nu stiu exact o remediere pe termen lung pentru o astfel de vulnerabilitate,dar o remediere temporara este:
-validarea HTTP Referer-ul , daca nu este din rstforums.com atunci nu se afiseaza avatarul

Silviu Stroe
I'm Silviu and I run Brainic, a mobile-focused software agency. I'm also a member of Nokia and Yahoo wall of fame. My interests are in low-code/no-code development and bleeding-edge technologies.

Leave a Reply

Your email address will not be published. Required fields are marked *