5.4 Within Security内容欺骗漏洞

难度:

URL:https://withinsecurity.com/wp-login.php

报告位置:https://hackerone.com/reports/111094/

报告日期:2016年1月16日

支付奖金:250美元

Within Security是HackerOne的一个网站,主要用于共享安全新闻。它构建于WordPress之上,并且在页面with-insecurity.com/wp-login.php中包含了一个标准的WordPress登录路径。黑客注意到在登录的过程中,如果发生了错误,Within Security会返回一个access_denied错误消息,这与如下URL中的error参数是一样的:

注意到这一点,黑客会尝试修改该参数内容。结果就是,网站会将传递给该参数的任何值作为错误信息的一部分显示给用户,即使URI编码的字符也可以正常解码。下面是黑客修改后的URL的例子:

该参数将作为一个错误消息显示在WordPress登录域之上。该消息引导用户去联系黑客控制的电话号码或邮箱(见图5-1)。

图5-1 黑客可以注入“警告信息”到WordPress的管理页面

这里的关键是URL中error参数的内容会在页面上进行显示。简单地测试你是否可以修改access_denied参数值就能发现该漏洞。

要点

注意被作为网站内容进行传递和呈现的URL参数。这些参数可能会给文本注入漏洞提供机会,从而使黑客可以利用这些漏洞针对目标对象进行钓鱼。在网站上呈现可控的URL参数有时会导致跨站脚本攻击(将在第7章介绍)。除此之外,该漏洞只能造成影响较小的内容欺骗和HTML注入攻击。虽然平台根据该报告支付了250美元,但这是针对Within Security的可以支付的最低奖金。并不是所有的漏洞奖励项目都认可HTML注入和内容欺骗报告并愿意支付奖金,就像社会工程学一样,最后能否成功太依赖于目标对象已经被注入文本欺骗了这个前提。