Cross Site Script Inclusion(XSSI) – Un nou tip de atac!

In urma cu cateva zile un utilizator al forumului RSTCenter(asa imi place sa ii spun), a dat definitia unui nou tip de vulnerabilitate destul de recent gandita¬†,iar aceasta se numeste “Cross Site Script Inclusion”, prescurtata si XSSI. In continuare aveti toate detaliile legate de acest tip de atac, de la “Domnul.Do”, un utilizator al forumului.

Descriere:
==============
Am cautat o variatie de la user la user in structura site-ului si am gasit.Dar prima data o descriere a XSSI-ului :

Dupa definitia mea un XSSI (Cross Site Script Inclusion) este: o vulnerabilitate server-side care consta in accesare unei resurse pe un domeniu diferit , redand acea resursa in domeniul respectiv.

Acest P.o.C se refera la un tip se vulnerabilitate numita “Information Leakage” deoarece poate verifica daca un user are o anumita valoare a parametrului “u” .
Acest concept este adresat userului care are avatar.

Exploit:
==============
Avatarul user-ului de pe care sunteti poate fi accesat si prin :

Code:
rstforums.com/forum/image.php?u=95563&type=profile

Dar acest url este mai special deoarece numai respectivul care are valoare parametrului “u” egala cu 95563 (in cazul de fata user-ul meu) poate sa vada acest avatar. Daca “u” este diferit de “95563” atunci o sa apara un pixel cu dimensiunea 1×1 .
Acesta variatie se poate vedea cross-domain prin “width” si “height” avatarului.

Ce inseamna asta:
Daca administrati un site care este visualizat de 5 useri logati in rsforums.com , puteti sa identificati unul sau toti (daca detineti valoarea parametrului “u” corecta).

P.o.C:
==============
E un P.o.C raw dar isi indeplineste scopul:
Edit this Fiddle – jsFiddle

Daca aveti “u”-ul egala cu “95563” atunci o sa apare 86×100 (nu o sa fie cazul) daca nu aveti “u”-ul respectiv o sa apara 1×1 .

Remediere:
==============
Nu stiu exact o remediere pe termen lung pentru o astfel de vulnerabilitate,dar o remediere temporara este:
-validarea HTTP Referer-ul , daca nu este din rstforums.com atunci nu se afiseaza avatarul




Silviu Stroe

Silviu is a full stack developer and entrepreneur. He is the founder of one of the first VPN services in Romania, RoTunneling and is part of Yahoo - Wall of Fame. He also loves bleeding edge technologies and new challenges.

No Comments


You can leave the first : )



Leave a Reply

Your email address will not be published. Required fields are marked *