目前已漏洞已修复,该打码的我也打码了,公开应该没事吧,不要找我。
0x01 flash跨域策略文件配置不当
主站的crossdomain.xml配置不当,允许了所有域*。攻击者可以发送请求,读取服务器返回的信息。这意味着攻击者可以获得已登录用户可以访问的任意信息,甚至获得anti-csrf token。
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>
其他子域名
0x02文件上传没有对内容进行效检
尝试上传一段包含恶意代码的图片到服务端,上传到,后台并没有对上传的图片内容进行有效过滤。导致上传后的图片仍然还存在恶意代码,后续可以配合flash进行利用攻击。
0x03攻击条件
比如:A 是 Hack,A发送一个链接给 B 用户, B 用户一旦点击,就会泄露,B 用户的身份信息,
手机号,地址,登录 IP,甚至能获取用户 Cookle 等等隐私信息,恶意的flash会把获取到的数据,利用的crossdomain.xml配置不当造成的同源策略自动回传 A Hack,A 就得到了B用户的数据。
0x04漏洞危害
利用此漏洞可获取某奇艺用户的 “, 某奇艺账号订单、商城订单号, 收货手机号,收货地址,甚至能获取用户 Cookle 信息”,等等隐私信息。
0x05漏洞利用过程
1、在 https://open.*.com/developer/register/info/view 上传一个恶意 Flash 文件,后缀修改成
jpg 的格式。可以正常上传。顺便找到上传后的文件返回地址,因为待会要用到这个文件。
上传 jpg 到网站后的访问地址为
http://pan.*.com//external//7EZhb5Kp1DiHzO5Y9uXTFReky4WYE--0dgXLKV1LLtMbfGrpOWIN
CWRKrokfacw9c94__GRm3Gs03nwbShqD6B4kriwriFtb51H9_nBA5ayLwepjK11zj_ON2p1xYZBN-4
dRZxgPasBEjneyU3_ovK-AgpGD_T0uED5r_i0YsnaZWIUSduUvhFwF24iZQRwce7zWbZcFyhEImv3O
BH1ywrP8mN9c112xhdjaLFJwZzg.jpg
可以看到文件是上传到 pan.*.com 这个域名下的,根据主站设置的同源策略, 这里存在跨域问题并可以利用。
2、下面开始构造攻击链接,比如这次我构造获取某奇艺商城用户的 购物车情况:
已知: 正常已登录某奇艺的用户直接访问:https://mall.*.com/shoppingcart.html 就可以
看到自己账号的添加过的购物车商品信息,数量,与金额等。
构造如下一个 html 文件,发送给用户,或者上传到自己的 VPS 云上,以链接形式发送给用
户。诱导用户点击。其中相关参数与说明。
已登录某奇艺的用户,只要点击 ”链接/html” 文件后,就会成功的把用户的购物车状况信
息发送了黑客。
调试模式可以发现。当用户点开的链接时,可以看到浏览器自动请求了某奇艺购物车页面。
然后恶意flash文件又对请求到响应数据进行 Base64 加密,自动回传了到另一台不知明的服务器。其实就
是把用户的响应页面偷偷的传给了黑客。
把拿到的回传数据进行 Base64 解密成 Html。
解密后,覆盖到浏览中,即可看到用户的购买车页面。
0x06修复建议
- 对上传的文件进行内容检测,大小限制。
- allow-access-from 标签的 domain 属性检测:domain 属性应根据最小化原则按需设置,仅允许可信任的来源跨域请求本域内容。禁止将该属性值设置为“*”。
- allow-http-request-headers-from 标签的 domain 属性检测:domain 属性应根据最小化原则按需设置,仅允许可信任的来源向本域跨域发送内容。禁止将该属性值设置为“*”。
-
site-control 标签的 permitted-cross-domain-policies 属性检测:根据业务的实际需求及可行性,对该属性做相应设置。禁止将该属性值设置为“all”。
image.png
