Facebook存储型XSS漏洞深入分析与防御指南<\/h1>

漏洞概述<\/h2>
本教学文档详细分析Facebook网站上发现的多个存储型XSS漏洞，这些漏洞通过Open Graph协议在留言板上嵌入外部视频来实施攻击。当用户点击播放视频时，XSS代码会在facebook.com的上下文中执行。<\/p>

Open Graph协议工作机制<\/h2>

Open Graph(OG)协议允许在社交媒体帖子中嵌入富媒体内容，其工作流程如下：<\/p>

攻击者在Facebook帖子中发布URL<\/li>
Facebook服务器读取URL(服务器端)，解析OG元标签，提取内容信息<\/li>
受害者通过封面图像和播放按钮查看帖子<\/li>

点击播放按钮时，视频加载并执行XSS代码<\/li> <\/ol>

关键点：服务器端读取用户提供的URL可能导致SSRF漏洞。<\/p>

漏洞类型与利用分析<\/h2>

1. 基于FlashMediaElement.swf的存储型XSS<\/h3>

漏洞原理<\/strong>：<\/p>

当ogVideoType为"video\/flv"时，Facebook加载FlashMediaElement.swf<\/li>
Flash将日志信息通过Flash-to-javascript发送到facebook.com<\/li>
漏洞存在于setTimeout函数的不安全使用和转义处理不当<\/li> <\/ul>
利用步骤<\/strong>：<\/p>

构造恶意OG元标签：<\/li> <\/ol>
<meta<\/span> property<\/span>=<\/span>"og:video:type"<\/span> content<\/span>=<\/span>"video\/flv"<\/span>> <\/span><\/span><meta<\/span> property<\/span>=<\/span>"og:video:secure_url"<\/span> content<\/span>=<\/span>'https:\/\/evil.com\/video.flv?"+alert(document.domain+" XSSed!")+"'<\/span>> <\/span><\/span><\/code><\/pre> Chrome浏览器解析URL时不对哈希部分的引号进行编码<\/li> 导致执行：<\/li> <\/ol> log<\/span>("http:\/\/evil.com\/video.flv?"<\/span>+<\/span>alert<\/span>(document.domain<\/span>+<\/span>" XSSed!"<\/span>)+<\/span>""<\/span>) <\/span><\/span><\/code><\/pre>修复方案<\/strong>： Facebook修复了Flash文件，不再使用setTimeout函数，并正确转义引号。<\/p> 2. 无需Flash的存储型XSS<\/h3> 漏洞原理<\/strong>：<\/p> 当ogVideoType为"video\/vimeo"时，直接构造iframe<\/li> absolutizeUrl函数处理后未对输出进行编码<\/li> <\/ul> 利用步骤<\/strong>：<\/p> 设置ogVideoUrl为：<\/li> <\/ol> http:\/\/evil.com\/#" onload="alert(document.domain)" <\/code><\/pre> 导致生成：<\/li> <\/ol> <iframe<\/span> src<\/span>=<\/span>"https:\/\/player.vimeo.com\/video\/#"<\/span> onload<\/span>=<\/span>"alert(document.domain)"<\/span>?<\/span>api<\/span>=<\/span>1"<\/span>><\/iframe<\/span>> <\/span><\/span><\/code><\/pre>修复方案<\/strong>： Facebook添加了对引号的编码处理。<\/p> 3. 错误消息中的XSS<\/h3> 漏洞原理<\/strong>：<\/p> 当ogVideoType为未知类型时，错误消息中包含未编码的ogVideoUrl<\/li> <\/ul> 利用步骤<\/strong>：<\/p> 设置ogVideoUrl为：<\/li> <\/ol> https:\/\/opnsec.com\/#"><\/a> <\/code><\/pre> 4. Silverlight组件中的XSS<\/h3> 漏洞原理<\/strong>：<\/p> 当ogVideoType为"silverlight"时，使用逗号分隔参数<\/li> 攻击者可注入额外参数覆盖安全参数<\/li> <\/ul> 利用步骤<\/strong>：<\/p> 设置ogVideoUrl为：<\/li> <\/ol> https:\/\/opnsec.com\/#,id=alert(document.domain)& <\/code><\/pre> 导致Silverlight调用：<\/li> <\/ol> alert<\/span>(document.domain<\/span>) &<\/span> _init<\/span>() <\/span><\/span><\/code><\/pre>修复方案<\/strong>： Facebook决定移除所有MediaElement组件，采用新的视频处理方式。<\/p> 漏洞影响范围<\/h2> 这些漏洞不仅存在于Facebook，也影响使用MediaElement.js的其他平台，特别是WordPress：<\/p> WordPress默认使用MediaElement.js处理短代码<\/li> 允许攻击者在评论或作者文章中植入存储型XSS<\/li> WordPress在2018年2月发布了相关修复<\/li> <\/ul> 防御建议<\/h2> 1. Open Graph协议安全使用<\/h3> 警惕SSRF、XSS和Clickjacking风险<\/li> 对用户提供的URL进行严格验证<\/li> 使用X-Frame-Options防止Clickjacking<\/li> <\/ul> 2. URL处理最佳实践<\/h3> 不要依赖浏览器解析JavaScript代码中的URL<\/li> 使用白名单正则表达式验证URL<\/li> 对所有动态插入的内容进行适当的编码<\/li> <\/ul> 3. 安全编码实践<\/h3> 避免使用危险的函数如setTimeout和eval<\/li> 对所有用户输入进行上下文相关的输出编码<\/li> 实现内容安全策略(CSP)<\/li> <\/ul> 4. 安全测试建议<\/h3> 进行深入的代码审查，特别是涉及动态内容的部分<\/li> 使用多种浏览器测试XSS漏洞(不同浏览器处理方式不同)<\/li> 注意现代工具可能检测不到高级XSS漏洞<\/li> <\/ul> 浏览器URL解析差异<\/h2> 不同浏览器对URL中特殊字符的编码处理不同：<\/p> 浏览器<\/th> URL哈希部分引号编码<\/th> URL搜索部分引号编码<\/th> <\/tr> <\/thead> Firefox<\/td> 编码<\/td> 编码<\/td> <\/tr> Chrome(旧版)<\/td> 不编码<\/td> 编码<\/td> <\/tr> Chrome(65+)<\/td> 编码<\/td> 编码<\/td> <\/tr> IE\/Edge<\/td> 不编码<\/td> 不编码<\/td> <\/tr> Safari<\/td> 不编码<\/td> 编码<\/td> <\/tr> <\/tbody> <\/table> 关键教训<\/strong>：不应依赖浏览器进行URL编码，应主动实施编码。<\/p> 总结<\/h2> 本教学文档详细分析了Facebook上通过Open Graph协议和MediaElement.js组件实现的多种存储型XSS漏洞。这些漏洞展示了现代Web应用中复杂的安全挑战，特别是当涉及第三方组件、富媒体内容和跨浏览器兼容性时。防御这类漏洞需要多层次的安全措施，包括输入验证、输出编码、安全编码实践和持续的安全测试。<\/p>

浏览器<\/th>	URL哈希部分引号编码<\/th>	URL搜索部分引号编码<\/th> <\/tr> <\/thead>
Firefox<\/td>	编码<\/td>	编码<\/td> <\/tr>
Chrome(旧版)<\/td>	不编码<\/td>	编码<\/td> <\/tr>
Chrome(65+)<\/td>	编码<\/td>	编码<\/td> <\/tr>
IE\/Edge<\/td>	不编码<\/td>	不编码<\/td> <\/tr>
Safari<\/td>	不编码<\/td>	编码<\/td> <\/tr> <\/tbody> <\/table> 关键教训<\/strong>：不应依赖浏览器进行URL编码，应主动实施编码。<\/p> 总结<\/h2> 本教学文档详细分析了Facebook上通过Open Graph协议和MediaElement.js组件实现的多种存储型XSS漏洞。这些漏洞展示了现代Web应用中复杂的安全挑战，特别是当涉及第三方组件、富媒体内容和跨浏览器兼容性时。防御这类漏洞需要多层次的安全措施，包括输入验证、输出编码、安全编码实践和持续的安全测试。<\/p>

Facebook存储型XSS漏洞深入分析与防御指南<\/h1>

漏洞概述<\/h2> 本教学文档详细分析Facebook网站上发现的多个存储型XSS漏洞，这些漏洞通过Open Graph协议在留言板上嵌入外部视频来实施攻击。当用户点击播放视频时，XSS代码会在facebook.com的上下文中执行。<\/p>

漏洞类型与利用分析<\/h2>

防御建议<\/h2>

漏洞概述<\/h2>
本教学文档详细分析Facebook网站上发现的多个存储型XSS漏洞，这些漏洞通过Open Graph协议在留言板上嵌入外部视频来实施攻击。当用户点击播放视频时，XSS代码会在facebook.com的上下文中执行。<\/p>