如何用簡訊完成XSS？

Verizon Messages（

Message+）是Verizon推出的一款開放跨平台信息交換應用程序，它允許用戶在更多的無線設備中交換和共享信息。目前，該軟體客戶端支持跨平台使用，包括移動設備、桌面設備和Web端，並提升了VZW文字簡訊的用戶體驗度。

Verizon的郵件信息服務是跨平台的，此前只能夠通過採用電話撥號的方式進行發送和接收，而新的應用程序將允許用戶通過互聯網在更多的無線設備上接收消息，並允許用過通過計算機對郵件賬戶進行管理。此外，跨平台的統一消息的應用程序可能有助於防止客戶移動到其他網路，並與其他應用程序如iMessage、黑莓信使和Skype開展競爭，這也有助於提升Verizon的市場競爭力。

但是這款應用除了SMS短消息之外，還提供了一些其他

的額外功能

，而這些功能是我非常感興趣的。

在我安裝好

了Android端App

並完成註冊之後，我又登錄了Web端App並開始使用這款應用。使用了一段時間之後，我發現該應用會通過Web端和移動端的介面顯示包含鏈接的消息預覽通知。這些鏈接支持圖片和視頻等資源，但我更感興趣的是應用將會如何解析這些鏈接。

我感覺從Web端App著手會比較容易一些，所以我自己給自己發送了一些測試鏈接。

這樣一來情況就很明朗了：Web端的HTML頁面就是負責解析這些鏈接的伺服器端，解析完成之後便會返回URL地址的

。下面給出的是響應數據的部分內容：

正如你所看到的，響應信息中包含UI界面預覽信息圖片所對應的Open Graph屬性。請注意，上面的「imageUrl」實際上是Verizon的伺服器所返回的代理圖片（並非來自外部伺服器），而這種代理技術可以讓服務商更好地控制顯示在用戶瀏覽器中的圖片內容。

由於預覽屬性「attachment」是非同步獲取的（內容呈現在客戶端），因此我決定在這裡用DOMXSS攻擊向量嘗試一下，因為開發人員有可能會忽略這個影響因素。接下來，我又給自己發送了一些測試鏈接，這一次的鏈接中包含一些特殊字元，我想看一看這一次WebApp將如何處理和呈現這些內容。我在測試鏈接的查詢字元串中插入了一些單引號，此時我突然發現我貌似可以利用單引號來破壞上述錨點元素的href屬性。下面是一個簡單的Payload示例：

下面是網頁解析的結果：

通過讓錨點以內聯的形式強制覆蓋用戶的整個屏幕，我們可以利用「onmouseover」事件在打開消息的一瞬間觸發代碼執行：

這也就意味著，攻擊者可以利用一個精心製作的文字簡訊來控制目標用戶的整個頁面，這將導致攻擊者完全控制用戶的會話以及所有相關的功能，包括偽造用戶身份發送和接收SMS消息。

因為我的PoC已經可以正常工作了，所以我開始分析應用的javaScript源碼並嘗試找到導致該問題出現的原因。

注意其中「href」屬性的值都被單引號包裹起來了，雖然現在也有幾種方法能夠解決這個問題，但在這裡最合適的方法應該是使用DOMAPI。

披露

我將PoC以及問題的測試截圖／視頻發送給了Verizon，與往常一樣，Verizon的技術人員迅速給我提供了回復，並感謝我將漏洞及時上報給他們，然後迅速修復了這個問題。

更新

貌似Verizon最終還是選擇了使用DOM API來解決這個問題。

* 參考來源：randywestergren， FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！