除了dz论坛还能搭建什么网站,山西做网站的,做网站必备,建设自己的二手房中介网站简介
在本文中#xff0c;我将讨论如何通过从外部网站对Bingbot进行投毒#xff0c;来在Bing.com上实现持久性XSS攻击。
什么是存储型或持久性XSS#xff1f;存储型攻击指的是将恶意脚本永久存储在目标服务器上#xff0c;例如数据库、论坛、访问日志、评论栏等。受害者在…简介
在本文中我将讨论如何通过从外部网站对Bingbot进行投毒来在Bing.com上实现持久性XSS攻击。
什么是存储型或持久性XSS存储型攻击指的是将恶意脚本永久存储在目标服务器上例如数据库、论坛、访问日志、评论栏等。受害者在请求这些存储的信息时会检索到恶意脚本从而触发攻击。存储型XSS有时也称为持久性XSS或Type-II型XSS。
Bing和Bingbot是什么 Bing 是微软开发的一款搜索引擎提供网页、视频、图片和地图搜索服务。其目标是通过提供有组织且相关的搜索结果帮助用户做出明智的决策。 Bingbot 是由微软开发的一款网络爬虫也称为蜘蛛或搜索引擎机器人。其主要功能是为微软的搜索引擎Bing抓取和索引网页。自2010年10月推出以来Bingbot 通过外部和内部链接浏览网站以发现新的网页并将现有网页的更改更新到Bing的索引中。
这个过程称为抓取有助于Bing保持搜索结果的更新和相关性。Bingbot 收集的数据被输入到Bing的搜索算法中算法评估内容的上下文和质量以确定其在搜索结果中的排名。
Bingbot的工作原理
在Bingbot抓取网页的过程中它会将发现的信息发送给Bing。随后这些页面会被加入Bing索引并由算法分析以便有效地纳入搜索结果包括确定哪些网站、新闻文章、图片或视频会被纳入索引供用户在搜索特定关键词时使用。了解更多关于Bing如何发现和索引页面的信息。 漏洞细节
在Bing平台上发现了一个存储型跨站脚本XSS漏洞。该漏洞发生在Bing从互联网检索并存储视频的标题、描述和所有者信息等数据时由于缺乏安全的处理方式导致恶意脚本得以保留在Bing的索引中。这一过程涉及Bingbot或Bing的网络爬虫在对这些元数据进行索引时没有进行适当的清理致使恶意脚本被存储在Bing的索引中。
影响 •恶意行为者可以在Bing的网络应用程序上下文中执行任意JavaScript代码。
•可能导致的攻击包括但不限于Cookie窃取、会话劫持、网页篡改和钓鱼攻击。
•该漏洞影响所有查看感染视频详情的用户构成严重的安全风险。 漏洞发现与分析
当用户在Bing上搜索视频时搜索引擎处理查询并从其索引中检索相关内容。搜索结果页面会显示视频的详细信息包括未经清理、可能包含恶意脚本的内容。应用程序将这些数据以JSON格式存储但内容类型被设置为text/html这可能导致持久性XSS攻击。
当用户查看或与这些受感染的视频互动时恶意脚本会在Bing的网络应用程序上下文中执行。这是因为浏览器将数据解释为HTML允许嵌入在JSON数据中的脚本运行。这会带来多种安全威胁包括数据盗窃、会话劫持、钓鱼攻击和网页篡改。受感染内容的查看用户可能会因此而泄露个人信息或账户完整性受到影响。
内容类型设置不当进一步加大了风险使攻击者更容易在Bing的网络应用程序中注入和执行脚本绕过了依赖正确MIME类型处理的安全措施以防止此类漏洞。
Bing上持久性XSS漏洞的发现
在我探索Bing时发现在Bing的视频搜索中存在一个漏洞。当用户搜索视频时Bing会显示从外部来源获取的未经过滤的视频详细信息。这允许注入恶意脚本从而带来严重的安全风险。
回到故事的起点
某天我使用Bing并发现当用户在Bing图片搜索中搜索图片而搜索结果为视频且用户尝试查看时Bing的URL会变成https://www.bing.com/videos/vdasync 在点击并查看视频详情后我发现API返回了Bingbot从其他网站收集并存储在Bing搜索系统中的视频元数据。 img
但我注意到该URL的内容类型返回为 Content-type: text/html; charsetutf-8而不是 application/json。 img
如果我们能够控制这些元数据而Bingbot 在没有清理或编码的情况下检索我们的数据并将其存储到Bing网站上会发生什么呢
正如我在上一节中提到的关于Bingbot如何工作的Bingbot帮助Bing保持其搜索结果的更新和相关性。因此我尝试在其他平台上创建一个视频帖子。
问题是我不知道我的新视频需要多长时间才能出现在Bing搜索中所以我考虑在以下网站上发布新帖子 •VK: https://vk.com/video/club226523289
•Tiktok: https://www.tiktok.com/m3ez_xss
•Instagram:https://www.instagram.com/m3ez.ss
•以及其他网站 为什么我没有在YouTube上发布视频
如你所见从https://www.bing.com/videos/vdasync的截图响应中数据响应为JSON格式。要执行JavaScript或HTML注入我需要确保能够使用尖括号。但在YouTube上这是不可能的。这一限制同样适用于其他流行平台如Vimeo和Dailymotion。 •幸运的是几天后我发现我在vk.com发布的视频出现在了Bing视频搜索中这使我能够完成我的报告和概念验证如下所示 概念验证 (PoC):
•在一个网站上发布视频并在所有者姓名、视频标题或描述中包含一个脚本
•例如我通过vk.com上传了一个视频载荷如下
scriptprompt(Stored XSS by Supakiad S. (m3ez),document.domain);/script 发布了这个视频帖子任何人都可以访问包括允许Bingbot抓取我的视频元数据。 等待Bingbot抓取并从vk.com检索视频并保存详细信息包括注入的XSS脚本。
然后开始搜索“Microsoft Bing Video”网页应用程序。我使用的关键词是m3ez site:vk.com。 点击视频后URL中将出现mid参数 将之前步骤中的mid参数附加到以下URL中
https://www.bing.com/videos/vdasync?mid{mid}
导航到该URL后XSS载荷将被触发如下所示
https://www.bing.com/videos/vdasync?mid6DD18424C941635DA77F6DD18424C941635DA77F 无偿 获 取 网 安 资 料 申明本账号所分享内容仅用于网络安全技术讨论切勿用于违法途径所有渗透都需获取授权违者后果自行承担与本号及作者无关
