微软Dynamics CRM中发现一个漏洞,可允许黑客远程诱骗登录用户在易受攻击的网站输入栏中插入恶意代码。
信息安全公司高科桥(High-Tech Bridge)最近就该漏洞发布一份安全报告。该公司的安全团队指出,虽然这个漏洞的风险系数低,但它的危害性依然严重。这个基于DOM的“self-XSS”漏洞在微软Dynamics CRM SP1中发现,可通过跨站脚本向网站真实用户发动攻击的方式予以利用。
这漏洞产生的原因是由于用户发送XML SOAP请求失败,用户输入的“不充分过滤”被传递至“/Biz/Users/AddUsers/SelectUsersPage.aspx”。因此,从理论上来讲,远程黑客可引诱登录至该服务的用户将恶意HTML以及脚本代码输入“newUsers_ledit”字段中,而这一切都发生在代码在用户浏览器执行之前。
但攻击者是如何诱骗用户的呢?高科桥公司指出,一个简单的社会工程学技巧就可诱骗用户将“合法的”文本从一个预先准备的恶意页面复制到用户的剪贴板上,这一切发生在粘贴到易受攻击的网页之前。
微软并不认为Dynamics CRM(美国政府在使用)中出现的self-XSS问题是漏洞。然而,安全公司认为不然,因为去年相关self-XSS活动在增多。安全公司建议用户拦截对易受攻击脚本WAF或者服务器配置的访问作为一种临时修复。
高科桥公司首席执行官Ilia Kolocheno评论称:“考虑到2014年黑客对相同漏洞利用的活跃性及成功性,这个XSS漏洞危害程度非常严重,尽管我们将其归于“低”类别,因为这个漏洞是一个相对复杂的利用。我认为微软不对这个漏洞进行修复的决定是错误的,他们应当更多考虑用户的安全而不是自己的总方针。在过去,此类漏洞可能被忽视,但是2015年不会这样,尤其是在诸如Dynamics CRM这样流行、敏感的产品中更是如此。
高科桥公司对该漏洞进行利用的视频请见https://www.youtube.com/watch?v=yS-eS_qWgUI。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。