来源:推酷 , V9 O4 k/ I; Z; s 8 W$ x$ ?5 u! U# T0 bWordPress著名插件Google Analytics by Yoast插件中曝出存储型XSS漏洞,该漏洞能够让未被授权的攻击者在WordPress管理面板中存储任何HTML代码,包括JavaScript。管理员查看插件的设置面板是JavaScript就会被触发,不需要别的交互行为。 : n9 I+ e- m$ D& M4 s% r; [ 9 k. @4 ~; s5 [, D0 P% l
漏洞描述, f8 r* ^' L- {2 w
. ~" t) n5 b5 OGoogle Analytics by Yoast是一款用于监视网站流量的WordPress插件。这款插件有大约7百万的下载量,是最受欢迎的WP插件之一。尽管插件代码从2014年开始被例行安全审计,但还是出现了这个漏洞,这次的这个漏洞非常危险,并且显然是Yoast WP插件中爆出的最严重的漏洞。 + t& w% D* i9 l( `% _7 h 3 H8 L* y4 _9 g& m2 [
对于攻击者来说,利用这个漏洞在服务器端执行代码相对简单。在默认WP配置下,恶意的用户可以利用这个漏洞通过插件/主题编辑器在服务器上写PHP文件(见视频演示)。或者攻击者也可以更改管理员密码,创建管理员帐号,或者做其他任何服务器网站上已登录用户所能做的事情。 6 Q# r8 u- n o # n+ _; @+ V) @这个漏洞今年1月下旬由Klikki Oy发现的,但是当时还不知道具体的影响,直到三月一份完整的调查结果出炉。现在插件已有更新修复这一问题。 " A5 {& R3 Y' d& A) q& u 2 F+ [# F3 f1 B9 l$ _$ L# Y漏洞细节- L8 D, D: J0 U" d r& S* `
( m0 w2 F1 j( e/ m: Q7 t
漏洞的影响是两个问题的结合。首先,缺少访问控制导致未被授权的用户可以修改有关插件的部分设置。攻击者可以覆盖已有的OAuth2验证信息,验证信息在插件中被用作获得Google分析的数据,因此,攻击者可以在插件中使用自己的Google分析账号。: L. {/ P4 G( z! `/ ~! M: e: J3 F' q
5 N; f0 G& e# E( n. y其次, / P( @# ^ k& \ s) F% q 插件中有一个HTML下拉菜单,菜单基于从Google分析下载的数据。数据没有进行处理或者HTML转义。如果攻击者在Google分析账号设置中输入<script>标签之类的HTML代码,这些代码就会出现在WordPress管理面板中,任何浏览这些设置时就会触发。6 }6 w. t# a; w& B
# r2 l# H4 N5 G. |3 Z0 y
* k) D- [+ {! P 7 g2 n/ f% l# M
' x4 m7 S0 p! ^ : t/ I1 W" a4 {+ i( u
vcmlnaW5hbD0="http://www.hx95.com/uploadfile/Collfiles/20150324/2015032410093787.jpg!small" src="http://www.hx95.com/uploadfile/Collfiles/20150324/2015032410093787.jpg" title="shutterstock_196083881-680x400.jpg" /> * M; J; H, h4 W, V 0 N4 x& ^1 {/ P m+ N% P, uPOC) h8 e$ a2 h4 D0 B4 n
, S- x6 P: B1 |( C- u2 z/ z: ~; T以下这段HTML片段可以用来劫持使用了漏洞插件的网站中Google分析账号: `! p' b6 N" t+ d
. N j, s$ `, T* J% ^7 D, j
<a href="http://www.hx95.com/wp-admin/admin-post.php?reauth=1">reauth</a><br><br><form method=POST action="http://www.hx95.com/wp-admin/admin-post.php"><input type=text size=100 name="google_auth_code"><input type=submit></form> ) x% i1 S2 ^" o+ I B - s9 O8 d/ I. \4 q1 x ) Z! v0 b# S& e( W I* \$ J/ \: e7 C首先,攻击者会点击"重新授权"链接。这个动作不需要任何验证。它会重置某些插件设置,并将攻击者重定向导一个google.com OAuth验证对话框,攻击者可以在这里获得一个验证代码。接着攻击者会复制这段代码并且粘帖到上面的表格并点击提交。这样攻击者就更新了插件设置中的代码——也是不需要进行授权的。然后插件就会从攻击者的Google分析账号获取数据了。 2 }0 H$ [ n5 t : E) c+ r2 \) Z' i
攻击者会在Google分析账号设置(https://www.google.com/analytics/web/?hl=en#management/Settings/)中填入真正的payload脚本。例如:5 O1 f3 g7 M$ D2 W! m( T1 H
& n' D# a, K M" o test"><script>alert('stored XSS')</script> 0 |% f2 ?, @7 ^: Z这样的脚本会在管理员浏览面板中的设置页面时弹窗。 V9 U0 P4 p% O, Y& A- Y; A/ T
真实的攻击可能会使用src属性从外部网站加载更加复杂的脚本。可以使用ajax调用加载提交管理表单,可以使用插件编辑器写入服务器端PHP代码,并执行。5 { x1 L3 O$ a9 T( y
6 N4 f9 x/ ]( t5 G+ S% N解决方案" {; f3 u d, B9 O2 H4 |$ }1 M" H
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
悔悟卡
匿名卡
