Nuomonė: XSS reikšmė Skype bei vaizdo nuotaikų įterpimo interakcijoje - 2008-01-05
Šiandien noriu aptarti, manau, įdomų ir ganėtinai naują dalyką, šiek tiek susijusį su XSS pažeidžiamumų nuvertinimu šiuolaikinėje programinėje įrangoje, bei pademonstruosiu, kaip saugumo problema vieno gamintojo produkte gali būti susijusi ir su kito gamintojo programa.

Paimkime daugelio pamėgtą IM bei internetinės telefonijos klientą Skype. Šiame produkte yra galimybė prie savo nuotaikos pridėti ir vaizdo įrašą iš dailymotion.com ar metacafe.net. Esmė yra tame, jog visa navigacija bei vaizdo įrašų pasirinkimas yra atliekamas interneto pagrindu. Kadangi dirbu Windows aplinkoje, tai mano atveju yra naudojamas Microsoft Internet Explorer variklis. Todėl kyla mintis, jog interneto svetainių kontekste atsirandančios problemos gali būti aktualios ir čia. Nedidelis pasižvalgymas parodė, jog iš tiesų taip ir yra. Porą minučių pasidairęs dailymotion.com svetainėje, radau vietą, kur vartotojo perduodamas turinys nėra tinkamai filtruojamas, todėl atsiranda galimybė įterpti pastovų HTML ar script kodą (taip vadinamas permanent XSS), kuris, kaip vėliau paaiškėjo, gali būti įvykdytas skype kontekste. Tai aišku yra ne Skype, bet dailymotion problema, Skype ją tiesiog paveldi. Manau, tai iš tiesų nėra gerai, kadangi atsiranda dar vienas vartotojų atakos vektorius - paprasčiausias pavyzdys būtų javascript'o įterpimas, kuris išnaudotų kurią nors Internet Explorer spragą bei, tarkim, užkrėstų vartotojo kompiuterį kenksminga programine įranga. Kadangi mano tikslas yra parodyti koncepciją, o ne tobulą atakos variantą, apsiribosime paprastu pavyzdžiu:

Įsilaužėlis randa pastovaus XSS vektorių, pasiekiamą per Skype, tai svarbu todėl, kad Skype dailymotion.com versijoje yra atvaizduojami ne visi laukai. Toks laukelis, aišku, atsirado - tai "Title", t.y. įdėto filmuko pavadinimas. Ten įterpiame maždaug tokį kodą: d" onload="javascript:alert('Critical Security'), kuris bus paverstas į tvarkingą IMG žymą, su onload įvykiu:

Filmukų pavadinimai vaizduojami vaizdų paieškos metu, todėl norėdami prisivilioti potencialių aukų, galime šiam video priskirti populiarius raktinius žodžius, kad jį surastų kuo daugiau naudotojų. Populiariausi, aišku, yra „saugumas“ ir „critical.lt“, tad juos ir pasirenku :) Kad spraga veiktų, reikia pridėti dar vieną video, kuris raktiniais žodžiais būtų susietas su kenksminguoju.

Dabar, kai paieškos kriterijai sutaps su kenksmingų vaizdelių raktiniais žodžiais, bus įvykdytas įterptas kodas:

Baigiant šį trumpą pasakojimą, norisi pridurti, jog panašių problemų turi ir kita programinė įranga, pasikliaujanti interneto svetainių su vartotojų dedamu turiniu apdorojimu. Ir XSS problema, be abejo, būdinga ne tik dailymotion.com, tačiau ir populiaresniems vaizdų portalams, tarkim http://uk.youtube.com/edit_playlist_info?p=XSS ar http://uk.youtube.com/watch?v=Fn7-ReEucsQ&neegiztuojantis_parametras=XSS (straipsnio rašymo metu spraga jau ištaisyta).


Copyright © 2005 - 2010, UAB „Critical Security“