看我如何用XSS“干掉”8/9的顶级杀软厂商

在过去的十年里，世界上已经有数以百万计的人在电脑上装了杀毒软件。在本文中，我们针对世界上Top 9杀软公司的网站里攻克下了8个，成功实现了XSS的利用。

前言

现如今的杀软已经非常成熟，还拥有了针对ransomware、间谍软件、木马、后门、蠕虫和rootkits等攻击的保护手段。

我们针对世界上Top 9杀软公司的网站里攻克下了8个，成功实现了XSS的利用。此外，下文会根据漏洞发现的难度和严重程度，对其进行评级，评级模型如下：

Severity: ⅖
Difficulty: ⅘

而在报告给厂商后，我们还有个厂商响应评级供用户参考：

Speed: ⅖
Interest: ⅘

下面我们进入正题，我们将分析一下每个触发弹窗的POC，并按困难程度进行排序：

各厂商XSS漏洞大合集

BitDefender（比特梵德）

影响域名：lv2.bitdefender.com

上面提到的这个子站，受影响的点在网站404页面，在路径处直接加上攻击向量（如），就可以轻松进行XSS攻击。

看我如何用XSS“干掉”8/9的顶级杀软厂商

评级：

Severity: ⅖
Difficulty: ⅕

这个Severity评级是因为其与主域名共享了cookie，所以影响力是较大的。但是因为没有做XSS防护，所以Difficulty评级较低。

最终Payload如下：

https://lv2.bitdefender.com/

卡巴斯基

影响域名：kids.kaspersky.com

该子站的url里，其中age参数没有进行保护，加上攻击向量“>

看我如何用XSS“干掉”8/9的顶级杀软厂商

评级：

Severity: ⅖
Difficulty: ⅕

由于卡巴斯基这个子站也是跟主站共享cookie，而且也没有加防护，所以它跟BitDefender的XSS评分差不多。

最终Payload如下：

https://kids.kaspersky.com/?age=">

Panda Security（熊猫安全）

影响域名：download.pandasecurity.com

该子站影响在参数url上，在页面返回了三次，有两次在

之间出现，还有一次出现在脚本内容（document.domain)

因为location.hash回显的是#(document.domain)，而不是(document.domain)。我们不能使用substr()或者slice()函数，因为他们也使用了括号。

为了绕过这一点，我们使用了HTML元素的innerHTML属性，这会返回当前元素闭合和开放的标签内的文本内容。我们可以创建下面的payload：

上面的payload改变了页面里的document.location，转为javascript:”#”-alert(document.domain)。这里#因为包含在引号里，所以被解析为字符串，同样能触发弹窗。

最终payload：

https://service.mcafee.com/webcenter/portal/cp/home/faq?term=
https://att.mcafee.com/webcenter/portal/cp/home/faq?term=
https://verizon.mcafee.com/webcenter/portal/cp/home/faq?term=
https://truekey.mcafee.com/webcenter/portal/cp/home/faq?term=

ESET

影响域名：www.eset.com

这里的XSS漏洞是通过GET参数q触发的，也就是查询关键词的内容。这是第三方厂商开发的一款名为TYPO3的CMS，我们发现了其中的XSS漏洞。

看我如何用XSS“干掉”8/9的顶级杀软厂商

评级：

Severity: ⅕
Difficulty: 5/5

这里的Severity评级是由于cookie设置了保护，但是需要用户交互才能触发。

而Difficulty设置的高评级，是因为我们花了许多时间寻找其他子站的XSS漏洞，然后才想到了去判定网站指纹，看看是否存在公开XSS漏洞。

接着，我们发现该网站采用了TYPO3的CMS，我们开始去Fuzz这个CMS的过滤器。后来，我们发现了Github上，该CMS放置了一些单元测试脚本，我们终于弄明白了过滤器的细节。

该CMS使用了黑名单来拦截事件句柄，如onclick之类的会被替换成onclick。而javascript:会被替换成javascript/:。与此同时，尖角符号也会被编码。我们尝试了javascript:来代替javascript:然后成功了。还有，我们也用( 和)代替了小括号。

在返回页面里输入内容出现了两次，一个在标签里，另一个在标签的value值里。在该CMS里尖括号被HTML编码后，我们只有考虑向标签里注入事件句柄和属性。

幸运的是，HTML5有了一个新的属性，也就是标签可以调用的formaction。我们可以用它设置

里的action属性的值，也在其影响之中。即使标签里的action已经设置了值，我们还是可以覆盖里面action的参数值。
结合type属性使用上面提到的属性，我们可以将转换为一个button，将document.location设置为“javascript:alert(document.domain)”。
最终的payload：
https://www.eset.com/us/search/?q=1"type=image formaction=javascript%26colon;%26lpar;document.domain%26rpar;+1
在本节中，我们将杀软厂商的漏洞响应进行了评级，评级方式与前面大致相同。我们初始提交漏洞给各厂商时都是在1月27日，直到90天后我们才发布了这篇报告。
各厂商响应情况
BitDefender
我们在1月31日和3月1日分别给它发了消息，而在第三封消息后，他们才向我们要了漏洞细节。我们发现在此前他们已经修复了漏洞，但却没有给我们回信。
后来他们在4月12日声明这问题早已有人报告过，而且修复了（在我们发了初始报告之后的时间内修复的），所以并没有给我们奖金。
评级：
Speed: ⅕ Interest: ⅕
卡巴斯基
我们在发送初始报告消息后，在27分钟后就收到了厂商的回复，是诸厂商中最快的。
在2月4日漏洞被确认，我们检查了下漏洞已经被修复。我们在那天又发了消息给卡巴斯基，他们表示正在等待安全团队的消息。然而至今为止，还是没有下文。
评级：
Speed: 5/5 Interest: ⅘
PandaSecurity
我们在给Panda Security发送初始报告后，还发过一封消息。在1月31日后，他们回复已经知晓了漏洞，并且在2月1日进行了修复，是厂商里最重视漏洞的。
评级：
Speed: ⅘ Interest:5/5
Avira
在发送初始报告后，我们曾通过他们的推特账户进行联系。他们给了我们一个email地址，似乎是很重视他们的互联网用户安全的。
我们在2月2日向他们给的email地址，发送了该漏洞的POC。后来，我们又分别在2月8日、20日和27日也发送了消息，但是直到本文发布还是没收到任何回应。
然而，我们发现至少在4月21日以前该漏洞就已经被修复。但厂商没有表示任何形式的感谢，甚至根本不回复我们消息。
评级：
Speed: ⅕ Interest: ⅕
AVG
AVG在我们初始报告两天后回复了我们，然后又在回复消息后10天内修复了该漏洞。为此，他们还奖励了我们一件T恤和一份感谢信。
Speed: ⅘ Interest: ⅘
Symantec
Symantec在我们发出第二封消息（1月31日）后进行了回复，我们在2月2日发送了POC。直到我们又发了三封消息（2月8日、22日、27日）后，才确认了这个漏洞。他们表示已经联系了该平台的厂商，等待修复完成。
不过直到发文之时，该漏洞仍然没有修复。
评级：
Speed: ⅕ Interest: ⅕
McAfee
我们尝试了各种方式联系McAfee，支持中心、推特账户，虽然他们最后还是回复了我们。后来，在2月4日我们给厂商发送了POC。但是，直到本文发布该漏洞仍然未修复。
评级：
Speed: ⅕ Interest: ⅕
ESET
ESET在我们发送初始报告47分钟后就回复了，算是厂商中回复第二快的。在我们发送POC之前的当天（晚上9:57前），漏洞就已经被修复，不过此前我们已经将利用结果的截图发过去了。为此，ESET还给我们发了一封正式的感谢函。
评级：
Speed:5/5 Interest:5/5
Avast
Avast是我们唯一没有发现XSS漏洞的厂商，但并不意味着他们并没有这样的漏洞。毕竟这个测试项目，我们只花了一周的时间来做。但是这也许也象征着他们的WEB安全方面强于竞争对手，我们最后对他们的团队表示衷心的敬佩和祝贺。
*参考来源：brutelogic，FB小编dawner编译，转载请注明来自1024rd黑客与极客（1024rd.COM）