本文深入探讨了被低估的DOM XSS漏洞,尤其是通过postMessage途径。作者发现Facebook的Login SDK for JavaScript中存在一个漏洞,允许攻击者通过特定的iframe通信触发DOM XSS。攻击者可以利用此漏洞在用户不知情的情况下执行恶意代码,可能导致一键式帐户接管。Facebook已通过增加正则表达式检测和架构检查来修复此问题。
前言
一直认为通过postMessage进行的DOM XSS是一个被低估的漏洞,并且大多数白帽子都没有注意到它的安全价值。
最近一段时间,开始研究客户端漏洞,比如寻找XSS,JSONP和postMessage问题。
但是XSS和JSONP漏洞已经很难发现了,浏览器相继引入SameSite Cookie以来,这些漏洞也将要消失了。
因此,我的关注点更热衷研究postMessage漏洞,因为大家往往很容易忽略它,但是它非常容易发现,无需要太多的技巧。
为简化起见,创建了一个Chrome扩展程序来查看/记录网页上发生的跨域通信。
在https://developers.facebook.com网站,开始研究Facebook的第三方插件。
该Facebook Login SDK for JavaScript创建了一个PHP文件/v6.0/plugins/login_button.php用于跨域通信的iframe代理框架。
iframe代理框架页呈现Continue with Facebook按钮,但有趣的是javascript SDK将初始化数据发送到包含按钮点击URL的iframe代理框架页。登录SDK的流程如下。
Third-Party website + (Facebook Login SDK for JavaScript)
<iframe src='https://www.facebook.com/v6.0/plugins/login_button.php?app_id=APP_ID&button_type=continue_with&channel=REDIRECT_URL&sdk=joey'>
</iframe>
The Facebook Javascript SDK sends the initial payload to the iframe proxy.
iframe.contentWindow.postMessage({
"xdArbiterHandleMessage":true,"message":{
"method":"loginButtonStateInit","params":JSON.stringify({
'call':{
'id':'INT_ID',
'url':'https://www.facebook.com/v7.0/dialog/oauth?app_id=APP_ID&SOME_OTHER_PARAMS',
'size':{
'width':10
最低0.47元/天 解锁文章
扫一扫
524
到【灌水乐园】发言
