XSS nel grande software wiki

Question

XSS nel grande software wiki

#1 da (5 voti)
#2 da (3 voti)
#3 da (0 voti)

-1

Ho trovato un vuln XSS in un grande software wiki. Ecco il codice vuln:

<?php
/**
 * Mock load.php with pre-defined test modules.
 *
 * This program is free software; you can redistribute it and/or modify
 * it under the terms of the GNU General Public License as published by
 * the Free Software Foundation; either version 2 of the License, or
 * (at your option) any later version.
 *
 * This program is distributed in the hope that it will be useful,
 * but WITHOUT ANY WARRANTY; without even the implied warranty of
 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
 * GNU General Public License for more details.
 *
 * You should have received a copy of the GNU General Public License along
 * with this program; if not, write to the Free Software Foundation, Inc.,
 * 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA.
 * http://www.gnu.org/copyleft/gpl.html
 *
 * @file
 * @package MediaWiki
 * @author Lupo
 * @since 1.20
 */
header( 'Content-Type: text/javascript; charset=utf-8' );

$moduleImplementations = [
    'testUsesMissing' => "
mw.loader.implement( 'testUsesMissing', function () {
    mw.loader.testFail( 'Module usesMissing script should not run.' );
}, {}, {});
",

    'testUsesNestedMissing' => "
mw.loader.implement( 'testUsesNestedMissing', function () {
    mw.loader.testFail('Module testUsesNestedMissing script should not run.' );
}, {}, {});
",

    'testSkipped' => "
mw.loader.implement( 'testSkipped', function () {
    mw.loader.testFail( false, 'Module testSkipped was supposed to be skipped.' );
}, {}, {});
",

    'testNotSkipped' => "
mw.loader.implement( 'testNotSkipped', function () {}, {}, {});
",

    'testUsesSkippable' => "
mw.loader.implement( 'testUsesSkippable', function () {}, {}, {});
",

    'testUrlInc' => "
mw.loader.implement( 'testUrlInc', function () {} );
",
    'testUrlInc.a' => "
mw.loader.implement( 'testUrlInc.a', function () {} );
",
    'testUrlInc.b' => "
mw.loader.implement( 'testUrlInc.b', function () {} );
",
    'testUrlOrder' => "
mw.loader.implement( 'testUrlOrder', function () {} );
",
    'testUrlOrder.a' => "
mw.loader.implement( 'testUrlOrder.a', function () {} );
",
    'testUrlOrder.b' => "
mw.loader.implement( 'testUrlOrder.b', function () {} );
",
];

$response = '';

// Does not support the full behaviour of ResourceLoaderContext::expandModuleNames(),
// Only supports dotless module names joined by comma,
// with the exception of the hardcoded cases for testUrl*.
if ( isset( $_GET['modules'] ) ) {
    if ( $_GET['modules'] === 'testUrlInc,testUrlIncDump|testUrlInc.a,b' ) {
        $modules = [ 'testUrlInc', 'testUrlIncDump', 'testUrlInc.a', 'testUrlInc.b' ];
    } elseif ( $_GET['modules'] === 'testUrlOrder,testUrlOrderDump|testUrlOrder.a,b' ) {
        $modules = [ 'testUrlOrder', 'testUrlOrderDump', 'testUrlOrder.a', 'testUrlOrder.b' ];
    } else {
        $modules = explode( ',', $_GET['modules'] );
    }
    foreach ( $modules as $module ) {
        if ( isset( $moduleImplementations[$module] ) ) {
            $response .= $moduleImplementations[$module];
        } elseif ( preg_match( '/^test.*Dump$/', $module ) === 1 ) {
            $queryModules = $_GET['modules'];
            $queryVersion = isset( $_GET['version'] ) ? strval( $_GET['version'] ) : null;
            $response .= 'mw.loader.implement( ' . json_encode( $module )
                . ', function ( $, jQuery, require, module ) {'
                . 'module.exports.query = { '
                . 'modules: ' . json_encode( $queryModules ) . ','
                . 'version: ' . json_encode( $queryVersion )
                . ' };'
                . '} );';
        } else {
            // Default
            $response .= 'mw.loader.state(' . json_encode( $module ) . ', "missing" );' . "\n";
        }
    }
}

echo $response;

L'output di $_GET["modules"] non è filtrato. Puoi dirmi se questo XSS è vulnerabile e pericoloso ai tuoi occhi?

xss

posta Robert Beran 19.07.2018 - 15:12

fonte

3 risposte

Leggi altre domande sui tag xss

Quali sono gli algoritmi e le tecniche di IP Traceback? Nascondere email da Google [chiuso]

score 5 · Answer 1

Questo non sembra pericoloso in quanto il tipo di contenuto non è HTML:

header( 'Content-Type: text/javascript; charset=utf-8' );

Per informazioni su XSS e tipo di contenuto text/javascript vedi ad esempio XSS riflettente nei codici di script con tipo di contenuto" text / javascript ".

_{Per inciso, suggerirei di anonimizzare il codice in futuro o di non fare una domanda del genere in un forum pubblico. La divulgazione completa senza contattare prima il fornitore è una cattiva forma.}

score 3 · Answer 2

3

Per riferimento, il file in questione è link

È parzialmente protetto con un file di tipo "Nega da tutti" .htaccess nella directory root della directory di test

Deny from all

risposta data 20.07.2018 - 17:12

fonte

score 0 · Answer 3

Se leggo correttamente questo codice, elenca i moduli installati sul server web. Questa è una vulnerabilità ma dovresti essere l'amministratore del server e avere un modulo con un nome come <script>alert('xss');</script> .

Tuttavia è un XSS? OWASP definisce XSS come:

"Gli attacchi XSS (Cross-Site Scripting) sono un tipo di iniezione, in cui gli script dannosi vengono iniettati in siti Web altrimenti benigni e attendibili. Gli attacchi XSS si verificano quando un utente malintenzionato utilizza un'applicazione Web per inviare codice dannoso, generalmente nella forma di uno script lato browser, a un altro utente finale. I difetti che consentono a questi attacchi di avere successo sono piuttosto diffusi e si verificano ovunque un'applicazione Web utilizza l'input di un utente all'interno dell'output generato senza convalidarlo o codificarlo. " link

Poiché questo attacco proviene da un utente autenticato sul sistema operativo, non sarebbe un XSS.