關於AJAX注入

作者：餘弦
來源：0x37 Security

AJAX可以讓資料在後台無聲無息地進行，假如有辦法讓你的JS指令碼與這個AJAX模組在同域內的話，那可以使用這個XSS來完成二次攻擊，並且可以通過XHR對象的status屬性來判斷返回結果的正確與否。GET型的AJAX，直接構造URL裡的參數值；POST型的AJAX，則構造好XHR對象的send方法裡的參數值。

一般借用AJAX來完成的攻擊，很難被使用者察覺，除非我們要讓使用者察覺。firefox中的外掛程式firebug能夠分析出XHR的一切動作：

在本地區如何對AJAX模組化的web程式進行安全檢測呢？

雖然AJAX不可以直接跨域傳輸資料，但是你可以在本地區中與目標AJAX模組傳輸資料。拿我的To Do/Project做個實驗，如下代碼：

<script type="text/javascript" src="http://www.0x37.com/Project/js/ajax.js"></script>
<script>
alert(_x)
function check_login(){

var up="up="+escape('餘弦')+"|"+"1234567";
_x.open("POST","http://www.0x37.com/Project/login.asp",true);
_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
_x.onreadystatechange=function() {
        if(_x.readyState==4) {
            if(_x.status==200) {
     alert(_x.responseText);
    }
    }
}
_x.send(up);
}
check_login();
//logout();
</script>

在本地提交這段代碼後，它會與0x37 Project上的login.asp檔案進行通訊，它的作用是猜測使用者名稱與密碼，並根據傳回值判斷正確與否，假如有個字典，那麼就可以批量猜測密碼了，這樣的通訊很正常。我們構造的惡意值也就是在這個AJAX盒子中進行注入的。當然，我們也可以直接對AJAX中的目標URL進行檢測。AJAX雖然將很多服務端檔案“隱藏”了起來，但這並不說明這些服務端檔案就安全了，也許還會暴露出更嚴重的問題。