利用 Opera 浏览器中存储的XSS漏洞读取本地文件

发表于:2021-9-26 09:18  作者:lucywang   来源:嘶吼网

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: 漏洞 Opera

  Opera 管理着一个漏洞赏金计划,研究人员可以在该计划中报告 Opera 软件中的漏洞并获得奖励。
  这篇文章就是我发现的一个漏洞——网页可能会从用户那里检索本地文件的屏幕截图。
  考虑到 Opera 是基于 Chromium 的,我做的第一件事就是下载一个新版本的 Opera 浏览器,并查看他们添加的新功能。其中一项功能称被为Opera Pinboard,“Pinboard”功能,允许用户创建图钉板并分享图钉,它基本上是一个笔记/书签保护程序,可以与其他用户共享,你可以向其中添加文本、图像和链接。
  此服务的 URI 是 https://pinboard.opera.com/。但是,在 Opera 中打开此页面时,我被重定向到了 Opera:pinboards。 opera: scheme是 Opera 中的一个特殊位置,类似于 Chrome 的 chrome:,并且具有普通页面没有的特殊权限。通过使用网络代理,我发现在将新链接作为 pin 添加到我的 pinboard 时,一个请求会被发送到pinboard.opera-api.com,如下所示:
  标签内的 URI 由浏览器解析,并发送到 pinboard API,然后添加到 opera:pinboards 中的本地版本。
  我的想法是,如果我可以向链接到 javascript URI 的 opera:pinboards 添加一个 pin,我就可以从特权方案中执行跨站点脚本 (XSS)。在执行了许多测试之后,我发现固定 URI javascript:@opera.com 是可能的,并且它在我的 pinboard 中显示为一个可点击的链接!这样,我们就有了 XSS!
  经过多次尝试,我最终想出了有效载荷 javascript:'@opera.com/';alert(1),它在我的pinboard内单击时会导致弹出窗口。但是,有一个小问题:pinboard 界面中的标签使用了属性 target=_blank,这意味着在页面上点击的任何链接都会在新窗口中被打开,并且不会在页面内执行 javascript。幸运的是,有一个小技巧:如果你命令 (Ctrl) + 单击或中键单击链接,代码会成功运行。
  通过在opera:pinboards 页面上使用简单的XSS,我想展示比点击链接时简单地弹出一个更大的影响。
  如前所述,opera: scheme比普通网页拥有更多权限:它还可以访问一些本机函数调用,并允许查看其他选项卡,绕过浏览器的同源策略 (SOP)。它还允许加载文件:scheme,可用于查看本地文件。然而,它不允许所有原生函数被使用,这将允许完全控制和访问其他标签,例如,注入javascript将复制整个页面的内容并发送到我的服务器。
  这样,我就制作了一个脚本来执行以下操作:
  · 使用本机函数 chrome.tabs.create 创建一个新选项卡,在本示例中,新选项卡打开 file:///etc/passwd。
  · 使用 Opera Pinboards 用于创建 pin 缩略图的相同函数 opr.pinboardPrivate.getThumbnail 创建打开的选项卡的屏幕截图。
  将截图以base64编码的PNG格式发送到我的服务器,然后我就可以查看它了。
  创建一个新的 pinboard 来导入脚本以执行上述所有这些步骤,我添加了一个新 pin,当点击它时,会发送我盗窃的 /etc/passwd 文件的屏幕截图。我通过BugCrowd页面向Opera发送了这个概念的视频证明。
  目前本文所讲的这个漏洞已经被修复。
  本文翻译自:
  https://blogs.opera.com/security/2021/09/bug-bounty-guest-post-local-file-read-via-stored-xss-in-the-opera-browser/

  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理

评 论

论坛新帖



建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海信义律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2021, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道