DOM XSS漏洞在Gartner Peer Insights小工具中已修复

Charlie Osborne
2023年2月8日 13:42 UTC
更新： 2023年2月20日 12:31 UTC

漏洞、研究、XSS

在修复尝试失败后，Gartner已修补了Peer Insights小工具中发现的一个DOM XSS漏洞。研究人员认为这一安全漏洞可追溯至该软件的最初开发阶段。

软件安全研究员Justin Steven在一份技术报告中指出，当小工具存在时，“许多网站”容易受到基于DOM的跨站脚本（XSS）攻击。

Gartner Peer Insights小工具是一种营销工具，被描述为“在Gartner Peer Insights上对特定市场中供应商评论和评分的聚合实时视图”，行业供应商被邀请将其托管在自己的网站上，以增加市场“可信度并推动转化”。

当网站使用Gartner小工具时，它会从gartner.com获取widget.js，然后为postMessage消息创建事件监听器，再创建一个div用于显示小工具。

一个指向Gartner.com域的隐藏iframe从gartner.com请求特定页面，该页面会向父页面发送postMessage消息。此消息数据用于构建HTML内容，并通过名为innerHTML的函数填充到小工具的内容div中。

子字符串的把戏

验证通过检查发送网站的来源中是否包含字符串“gartner.com”来进行。然而，通过从诸如https://gartner.com.attacker.com的网站发起攻击，可以绕过此检查，因为这仍然满足子字符串条件。

此外，研究员将innerHTML描述为DOM XSS的“接收器”，因为多个XSS触发器在注入时会触发。例如，如果受害者访问恶意网站，可以通过window.postMessage()推送精心构造的消息。

“这种精心构造的消息可能注入活动内容，在网站的上下文中执行任意JavaScript，”Steven说。“这可能允许恶意网站违反受害者网站上下文中用户数据的机密性和完整性，并显示任意有害内容，如钓鱼表单。”

该攻击不涉及向受害者网站或gartner.com发送流量。相反，这是一种在浏览器窗口内发生的客户端攻击。

概念验证（PoC）代码、漏洞测试页面以及演示该漏洞的YouTube视频现已公开。先前受影响的网站包括Black Kite、Gradle、LogRhythm、SentinelOne、Synopsys、Veeam和Vodafone等。

Steven分析了2022年的代码，但在检查了小工具的存档版本后表示，“它似乎从一开始就易受DOM XSS问题影响”。

Gartner于2022年11月4日收到有关此问题的通知。四天后，该分析公司确认了报告，并询问研究员是否愿意将问题提交至其在HackerOne上的私人漏洞赏金计划。

战术性修复于12月19日发布，随后在一月份进行了“完全修复”。然而，Steven提供了证据表明这些初始补丁可以被绕过。因此，于1月26日和2月2日发布了新的修复程序以解决DOM XSS问题。

Steven表示他希望将其工作作为公共咨询发布。但Gartner表示，如果研究“在HackerOne计划之外公开披露”，将不会提供漏洞赏金，因此研究员拒绝了漏洞赏金的提议，导致于2月3日公开披露。

在接受The Daily Swig采访时，Steven表示，组织应考虑对第三方前端JavaScript代码进行频繁的安全审查，包括小工具、分析代码、跟踪器、广告、客户支持聊天和其他功能。或者，他们应寻求对其供应商安全流程的保证。

无论如何，根据Steven的说法，在实施新的前端功能时，应考虑现有代码的完整性和风险因素。

The Daily Swig已联系Gartner，如果我们收到回复，将更新此报道。