portfob.ru

Блог web безопасности
  • Главная
  • О блоге
Главная  /  BugTrack • SECURITY TIME • Уязвимости  /  XSS в сервисе Яндекс-карты

XSS в сервисе Яндекс-карты

admin 06 марта, 2020 BugTrack, SECURITY TIME, Уязвимости
xss yandex map

В последнее время распространен такой вид атаки, как XSS. Это так называемый межсайтовый скриптинг (Сross-Site Scripting) – тип атаки на веб-сайты, который заключается во внедрении в выдаваемую сервером страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника.

Суть подобных атак заключается в том, что вредоносный код может использовать авторизацию пользователя на сайте для получения к ней расширенного доступа или для получения авторизационных данных пользователя.

Не так давно в распространенном сервисе Яндекс-карт была обнаружена уязвимость, позволяющая провести XSS-атаку. В этой статье мы покажем, как она работает.

Первым делом конструкторе Яндекс-карт создаем новую карту. Далее в карте ставим новую метку и в описание метки дописываем свой пэйлоад:

<b onmouseover=”alert(document.location)”><img width=”1000px” height=”1000px”>эксплоит при клике</b>

Сохраняем карту и получаем ее код.

Далее, этот скрипт вставляем куда нибудь на сайт, например, в раздел “контакты”.

//portfob.ru/about/

Теперь при клике по метке срабатывает JS скрипт.

Сам скрипт, который нам дает Яндекс после генерации карты, становится статистическим, и при повторным редактировании ссылка не меняется. Это позволяет вначале сделать легитимную карту, а затем, спустя какое то время, можно внедрить вредоносный скрипт:

//api-maps.yandex.ru/services/constructor/1.0/js/?um=constructor:4d0ec811910ee2c8f2d56c3a931f19cec85557ea2513af0757b1b3b7c0138456

Вывод

Таким образом недобросовестный вэб-мастер может нанести ущерб клиентам сервиса “Яндекс – карты”, встроив свой скрипт, который может уводить куки авторизованного пользователя на стороне клиента, например того же админа, или от характерности CMS, залить шелл и т.п. Также нанести репутационный риск Яндексу, или, встроив вирусный JS скрипт и проиндексировав его по антивирусным базам, внести домен api-maps.yandex.ru в блок лист антивирустных программ.

Стоит отметить, что на стороне Яндекса баг не срабатывает, он срабатывает только на стороне клиента. Сами специалисты Яндекса о проблеме знают, однако не предпринимают действий для устранения уязвимости.

Вот что ответила сама техподдержка:




Как они считаю, это ожидаемое поведение, т.е можно использовать их конструктор в своих корыстных целях.

Previous Article
Next Article

Related Posts

  • Уязвимость в плагине PPOM for WooCommerce Pro version 23.2

    Уязвимость в плагине PPOM for WooCommerce Pro version 23.2

    22.09.2021
  • JS/Redirector.NKN

    Как вирусы убивают скрипты сайта

    22.10.2018
  • Уводим клиентскую базу с “Клатч”

    28.11.2017

Рубрики

  • SECURITY TIME
    • BugTrack
    • Уязвимости
  • Мои записки
  • Прочие
  • Шпаргалки

Свежие записи

  • Шпаргалка по Burp Suite
  • Уязвимость в плагине PPOM for WooCommerce Pro version 23.2
  • Памятка по SQL-инъекциям
  • XSS в сервисе Яндекс-карты
  • Как вирусы убивают скрипты сайта
  • Символы, о значении которых мы и не догадывались
  • Уводим клиентскую базу с “Клатч”
  • Exploitation of the Vulnerability in Plugin for WordPress «Wordfence Security»
  • Как защитить сайт от копирования
  • Старое о главном – проблемы администраторов серверов
Tweets by winstrool
Home page of Winstrool |