السلام عليكم
قبل فتره اكتشفت ثغره xss في موقع mbc.net على احد ال sub-domains
الثغره خطاء في كود javascript يمكن استغلاله لتنفيذ اي كود عبر ادراجه في url الموقع
الurl المصاب :
http://competition.mbc.net/...تلاحظ في مكان الtitle يمكنك ان تدخل اي نص ويتم عرضة لاكن عند ادخال كود جافاسكربت لايتم تنفيذه لان المتغير يستخدم "مباشره" كـ string ويتم دمجه في كود javascript لذالك يجب ان نغلق بقيه الstring باضافه
فاصله و علامة تنصيص
%27%20;alert("something");%20%27
فيكون ال url :
http://competition.mbc.net/...يمكن استخدام الثغره في الاحتيال مثلا "ربحت جوائز من mbc.net الخ"
ولكي نخفي الاثر الرابط سنضيف كود javascript يقوم باخفاء ال url بعد دخول صفحه الاحتيال : window.history.pushState بالتحويل الى winner.php مثلا!
فيكون ال url الجديد:
http://competition.mbc.net/...وثم اكمال صفحه احتيال وادراجها عبر وسم ifreame
واخيراً اخفاء الكود عبر تشفيره الى base64 واستخدام الداله eval والداله atob لفك التشفير
طبعاً هذا الurl لصفحه الاحتيال لسحب بيانات حسابات facebook :
http://competition.mbc.net/...يمكن استغلاله لسرقه ال Visa-card او سرقه الكوكيز الخ
اخيراً سجل حساب mbc-winners-2015@gmail.com وارسل الرابط url للضحايا . D:
التعليقات