5.4　Within Security內容欺騙漏洞

難度：低

URL：https://withinsecurity.com/wp-login.php

報告位置：https://hackerone.com/reports/111094/

報告日期：2016年1月16日

支付獎金：250美元

Within Security是HackerOne的一個網站，主要用于共享安全新聞。它構建于WordPress之上，并且在頁面with-insecurity.com/wp-login.php中包含了一個標準的WordPress登錄路徑。黑客注意到在登錄的過程中，如果發生了錯誤，Within Security會返回一個access_denied錯誤消息，這與如下URL中的error參數是一樣的：

注意到這一點，黑客會嘗試修改該參數內容。結果就是，網站會將傳遞給該參數的任何值作為錯誤信息的一部分顯示給用戶，即使URI編碼的字符也可以正常解碼。下面是黑客修改后的URL的例子：

該參數將作為一個錯誤消息顯示在WordPress登錄域之上。該消息引導用戶去聯系黑客控制的電話號碼或郵箱（見圖5-1）。

圖5-1　黑客可以注入“警告信息”到WordPress的管理頁面

這里的關鍵是URL中error參數的內容會在頁面上進行顯示。簡單地測試你是否可以修改access_denied參數值就能發現該漏洞。

要點

注意被作為網站內容進行傳遞和呈現的URL參數。這些參數可能會給文本注入漏洞提供機會，從而使黑客可以利用這些漏洞針對目標對象進行釣魚。在網站上呈現可控的URL參數有時會導致跨站腳本攻擊（將在第7章介紹）。除此之外，該漏洞只能造成影響較小的內容欺騙和HTML注入攻擊。雖然平臺根據該報告支付了250美元，但這是針對Within Security的可以支付的最低獎金。并不是所有的漏洞獎勵項目都認可HTML注入和內容欺騙報告并愿意支付獎金，就像社會工程學一樣，最后能否成功太依賴于目標對象已經被注入文本欺騙了這個前提。