Lỗi bảo mật XSS trên trang Coccoc.com

Viết từ 9-10 tháng trước bữa nay thấy fix rồi mới dám Public.

CocCoc.com bị dính Bug gì ?

Coccoc là nhà cung cấp quảng cáo trực tuyến. Ví dụ: mình cần “sửa điện thoại” lên coccoc gõ từ “sửa điện thoại” nó sẽ ra 10 kết quả đầu tiên + với 1 số trang quảng cáo ở trên đầu.

Vấn đề là khi người mua quảng cáo của Coccoc nhập thông tin, sẽ có 3 trường có thể nhập thông tin như sau:

  • Tiêu đề
  • Nội dung quảng cáo
  • Đường link

coccoc.com-bug-xss

Sau khi thử nhập một số kí tự phổ biến để bypass lỗi XSS, mình nhận thấy là Coccoc kiếm tra đầu vào của Textbox “Đường link” khá lõng lẽo. Điều này cho phép mình có thể tiêm một Javascript vào trang kết quả tìm kiếm, điều này là cực kì nguy hiểm và nguy hiểm như thế nào mình sẽ phần tích ở cuối bài.

coccoc.com-bug-xss-2

Nghiêm trọng hay không ?

Lỗi XSS được chia thành 3 loại phổ biến là: DOM Based XSS, ReflectedStored trong khi DOM Based XSS, Reflected chỉ nhận dữ liệu từ Url, thì Lỗi Stored XSS có thể tiêm Code trực tiếp vào database của Website.

Mà ông Coccoc thì bị ngay cái lỗi Stored XSS này.

Ngoài ra mức độ nghiêm trọng của Bug, phụ thuộc vào cách exploit của hacker và số người bị ảnh hưởng bởi bug đó, theo như Coccoc.com công bố thì hiện tại có ~20 triệu người sử dụng trình duyệt vào tìm kiếm bằng Coccoc.com. Chà chà con số không hề nhỏ phải không.

Khai thác lỗi XSS của Coccoc như thế nào?

Đâu tiên lỗi XSS sẽ chẳng hại ai nếu như nó chỉ Bung cái Alert cảnh báo XSS lên như thế cả.

Tiêm được Javascript vào website Coccoc bạn làm được những gì ?

  1. Được chảy quảng cáo mà không tốn tiền.
  2. Ngay khi search 1 từ khóa nào đó, bạn có thể hướng người dùng đến 1 website chỉ định. (Mấy ông MMO chắc khoái khoản này, làm Aff thì ngon khỏi nói luôn, chèn code xong ngồi rung đùi đếm tiền thôi.)
  3. Mạo danh Coccoc yêu cầu người dùng cái đặt phần mềm, ứng dụng, plugin, addon… qua đó có thể chiếm quyền điều khiển thiết bị. (Lấy luôn mấy cái tài khoản ngân hàng, facebook, mail…). Xem thêm bài viết: Làm thế nào hacker có thể lấy tiền trong ngân hàng để biết được cách thức Hacker lấy thông tin của bạn.
  4. Lấy cookie của trình duyệt.
  5. Theo dõi hoạt động của bàn phím trên trang web của Coccoc.
  6. Yêu cầu người dùng nhập thông tin. (Chẳng hạn như user + pass của mail để động bộ hóa…)
  7. Còn rất rất nhiều thứ khác tùy trí tưởng tượng của bạn…..

Dưới đây là video khai thác lỗi của Coccoc

Ngay sau khi kiểm tra và thấy lỗi mình đã mail cho bên Coccoc và đã tiến hành Fix lỗi trên.

3/9/2016 Kiểm tra thấy lỗi

4/9/2016 Gửi email thông báo đến Coccoc

5/9/2016 Coccoc tiền hành Fix

6/6/2017 Thông báo lỗi đến mọi người, không public cách khai thác.

 

Updated: 06/06/2017 — 4:00 chiều
Dương Triều Blog © 2016