AD

利用人性结合Self_XSS和Click_hijack

Self-XSS因为其局限性,危害性不为人所知。但如果该漏洞结合其他漏洞,例如paste-hijack,加上对人性的揣测。则可以达到很不错的效果。
要达到利用的目的,需要如下条件:
1、  目标站点存在hijack漏洞,能实现paste-hijack
2、  存在有一个Self-XSS;

Paste-hijack:属于Click hijacking的一种,攻击者使用透明遮罩层或者隐藏代码,使用户在点击按钮或者执行其他操作时,并未真正点击到真实安全或执行预期内容的一种技术。Paste-hijack就是劫持用户的复制&粘贴操作,使用户无法复制/粘贴,或者粘贴错误的内容。
Self-XSS:属于XSS的一种,只触发该XSS漏洞,需要用户自行在漏洞所在处输入XSS代码,或者该漏洞存在于只有认证用户能访问的私人页面。这个漏洞可以基于DOM

假设现在某个站点存在一个Self-XSShttps://security.love/XSSJacking/,该页面的输入处存在Self-XSS。在该站点的注册页面存在一个点击劫持。如何结合起来呢?https://security.love/XSSJacking/index2.html。可以从用户行为进行分析,大部分用户在填写重复确认邮箱时,经常会复制已经填写好的邮箱地址,然后粘贴至确认邮箱内。那么,想要利用XSS,则需要用户主动XSS代码填入到存在漏洞地方,那么利用该处的hijack,则可以在存在hijack漏洞的页面注入恶意代码,检测用户的复制&粘贴操作。当用户复制时,并非复制的邮件地址,而是XSS代码。则当用户进行粘贴时,即可触发该漏洞。

请自行查看https://security.love/XSSJacking/index2.html页面源代码,查看代码示例。

材料来自:https://securityonline.info/2017/04/07/xss-jacking-new-xss-attack-combines-hijacking-self-xss-copy-paste-hijacking/

评论

此博客中的热门博文

简单粗暴导出小米便签

我——终于一个人了

多种方法绕过POWERSHELL的执行策略