漏洞描述

Mobsf允许用户上传带有 filename 参数的脚本文件。因此,恶意用户可以将脚本文件上传到系统。当应用程序中的用户使用“上传&分析”功能时,他们会受到存储型XSS的攻击。

漏洞细节

在“上传&分析”功能中存在存储型XSS。出现此问题的原因是上传功能允许用户上传文件名中含有特殊字符(例如 <、>、/ 和 ")的文件。可以通过将文件上传限制为仅包含白名单字符(例如 AZ、0-9)和业务要求允许的特定特殊字符(例如 - 或 _ )的文件名来缓解此漏洞。

1、在 MobSF 4.2.8 版本上,我点击了“上传&分析”按钮

2、以 zip 文件作为名称上传test.zip。


3、上传文件时使用了Burp将 filename 参数的值从改为test.zip。<image src onerror=prompt(document.domain)>test.zip这意味着我上传了一个文件并将其名称设置为脚本值。结果,服务器允许文件成功上传。

4、访问 /recent_scans/ 并找到了一个名为<image src onerror=prompt(document.domain)>test.zip“最近扫描”的文件。然后,我点击了“差异或比较”按钮。”

5、我发现应用程序需要选择一个文件进行比较,我选择了该文件<image src onerror=prompt(document.domain)>test.zip

6、我发现 filename 值中的 JavaScript 已在 Web 浏览器中执行。

漏洞危害

攻击者可以利用此漏洞来:

  1. 窃取敏感信息,包括会话令牌和 cookie

  2. 代表受害者进行未经授权的行动

  3. 破坏应用程序界面

  4. 可能与其他漏洞串联起来进一步利用

该漏洞的 CVSS 基本评分为 8.1,表明严重程度较高。该漏洞影响 MobSF 的所有版本,最高版本为 4.2.8。

强烈建议用户更新至 4.2.9 版本,其中包含针对此安全问题的补丁。

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。