作者在最近参与的一些漏洞众测项目中，着重关注了跨站搜索攻击漏洞（Cross-Site Search Attacks），也可称之为XS-Search，最终发现了谷歌图书服务 -  books.google.com存在的跨站搜索攻击漏洞，获得了谷歌奖励的$1337美金。 漏洞发现 发现该漏洞的灵感起源于35c3CTF比赛中一道针对搭建环境的Filemanager类型题目，其中提到，利用 Chromium XSS Auditor 和XS-Search攻击，可以提取获得目标用户的阅读记录和个人藏书列表。 在检查Google Books的网站页面时（https://books.google.com/），我发现了其源码存在一些有意思的差异变化，其中一个就是，当图书搜索查询导致了至少只有一本书的搜索结果时，其会在页面源码中添加一段特定的JavaScript脚本代码，该代码从以下部份开始： <script>if (window['_OC_registerHover']){_OC_registerHover({"title":"<title>" 其中<title>为搜索结果中显示在第一的书名名称。所以，如果给定一个书名名称<title>和用户ID <uid>，那么就可以创建出以下访问链接: https://books.google.com/books?uid=<uid>&num=1&q=<title>&x=<script>if (window['_OC_registerHover']){_OC_registerHover({"title":"<title>" 然而，这个链接最终是会被谷歌XSS Auditor给拦截了，因为即使uid=<uid>&num=1&q=<title>是合法的，但是x=<script>if (window['_OC_registerHover']){_OC_registerHover({“title”:”<title>”却会被当成XSS参数被过滤。 另外一点值得关注的是，当XSS Auditor对上述链接进行拦截时，其window.length的值就相当于0了，也就是说其中没有书目元素iframe。但由于谷歌会使用frame元素对书目进行存储分类，所以实际的frame元素值肯定是大于0的，因此，存在这种可能，那就是可以通过跨站方式来读取window.length属性来查看其中的frame元素值。当然，也可利用XS-Leaks Github中的error page 方法来探测出我们所需要的frame值。 基于以上分析来说，这种攻击中必须知道受害者用户的<uid> ，所以其攻击面就相对变窄了。为此，还需要深入测试<uid>相关参数，看看其是否能有更加直接的利用方法，我们一起来观察以下Google Books的跳转测试，请认真查看其中的uid值： https://books.google.com/books?uid=vulnerability - 跳转到Google Books自身； https://books.google.com/books?uid=%2B - 跳转到https://books.google.com/books?uid=<uid>&hl=en； https://books.google.com/books?uid=%2B1 - 服务端抛出404响应； https://books.google.com/books?uid=1%2B1 - 跳转到https://books.google.com/books?uid=<uid>&hl=en； https://books.google.com/books?uid='&q=hack - 跳转到https://www.google.com/search?tbo=p&tbm=bks&q=hack； https://books.google.com/books?uid=vulnerability&q=hack - 以登录用户身份显示搜索结果。 上述一系列的跳转有些奇怪，但是综合最后两条重定向跳转，我们可以构造出一种XS-Search攻击，这种攻击中无需知道受害者用户的<uid>，就能以其身份显示出搜索结果。 攻击场景 恶意攻击者可利用上述方法构造出这种攻击场景： 当Google Books的普通用户访问了某个攻击者控制的恶意网站时，其中发生的任何交互行为，可能会在恶意网站后台触发窗口打开，通过控制cross-origin属性，可以非常容易地利用上述存在的漏洞获得受害者的Google Books相关敏感个人信息。这些信息包括用户搜索过的书目名称、个人收藏书单、购买书单和阅读过的书籍记录。 漏洞复现 作者创建了一个PoC页面 – https://terjanq.github.io/Bug-Bounty/Google/books-xs-search-enpgws9jw5mb/poc.html 来复现上述XS-search攻击漏洞，在此之前，需要有以下操作前提： 1、开启了XSS-Auditor的Chromium浏览器； 2、创建两个名为s1和s2的书架，记住它们的<id>号，后续可在URL中用as_coll=<id>对它们进行访问； 3、从链接 https://terjanq.github.io/Bug-Bounty/Google/books-xs-search-enpgws9jw5mb/urls.html中选择一本书放入书架s1； 4、从链接 https://terjanq.github.io/Bug-Bounty/Google/books-xs-search-enpgws9jw5mb/urls.html中选择5本书放入书架s2； 5、访问PoC页面 – https://terjanq.github.io/Bug-Bounty/Google/books-xs-search-enpgws9jw5mb/poc.html，点击其中的“Click here to start the Poc”， 6、按其中的要求进行选择性填空； 7、等待查询响应结果。 针对我的上述漏洞报告，谷歌通过了一系列综合防护措施来进行了安全改进，以防止XS-Search攻击。谷歌也强调，如果此类漏洞不能对其防护机制造成实质性影响，之后不会再接收类似的XS-Search漏洞，会统一当成重复报。 漏洞上报进程 2019.1.27  漏洞初报 2019.1.28  漏洞分类 2019.1.30  漏洞被承认 2019.2.5   谷歌奖励$500 2019.3.5   漏洞修复 2019.3.19  谷歌继续奖励$837，总共$1337

近日，安全研究专家对外表示，如果你的Windows电脑开启了锁屏启动微软Cortana数字助手的话，那你可能就危险了。如果你开启了这样的配置，意味着攻击者将能够窃取你存储在浏览器缓存中的用户凭证 Cortana被曝存在安全缺陷 实际上，Windows系统会默认开启锁屏状态下调用Cortana数字助手的功能，用户无需解锁即可向Cortana提问，而Cortana也会通过语音或文字等形式回答你的问题，即使这名用户没有进行身份验证。在这种状态下，Cortana主要依赖于Edge浏览器或个别版本的IE 11浏览器来实现这种问答功能。 而来自McAfee的研究人员近日发表报告称，如果攻击者能够物理访问到目标设备的话，攻击者将能够利用这种存在安全缺陷的功能来窃取用户存储在浏览器缓存中的数据。通过向Cortana提问恰当的问题，攻击者就可以在不解锁屏幕的情况下让Cortana直接访问一个由攻击者控制的域名地址，由于该域名地址所指向的资源内容是攻击者控制的，所以他们就可以直接在目标用户的浏览器中运行恶意JavaScript脚本了。 注：McAfee的研究人员也已经在这篇研究报告中提到了攻击者如何利用Cortana获取目标用户的数据、运行恶意代码，甚至是修改锁定PC的密码，感兴趣的用户可以深入阅读了解详情。 值得一提的是，Cortana可以根据用户具体提出的问题和提问的方式来给出更加详细的回应，甚至可以直接返回互联网中的某条资源。比如说，如果你想查询某个官方网站的话，Cortana将会直接返回维基百科里的条目。 攻击方式 研究人员表示，他们还可以利用这种特性来伪造维基百科条目，添加足够多的内容来保证词条可以通过审核，然后增加额外的官网链接。虽然这种想法确实可行，但是攻击者其实并不会这样去下赌注，因为维基百科上的内容会有专人定期审查。除此之外，在Cortana能够检索到预期的答案之前，攻击者还需要等待Bing搜索引擎对该页面进行索引。 另一种方法是识别维基百科官方网站上已过期或未维护的死链，然后购买这些链接地址。这是一种比较隐蔽的方法，因为这些地址已经通过了审核，而且无需等待搜索引擎收录。 McAfee的研究人员在报告中指出，在维基百科网站上的这些死链中有很多都是仍被注册的，但是却没有托管任何资源或内容。其实这些链接都是可用的，只不过被添加上了“死链“的标记而已。 当攻击者购买到了这些所谓的“死链“之后，他们会在这些链接所指向的站点注入恶意代码，当Cortana”点击“了这些链接之后，Edge浏览器会自动从这些地址接收内容，而此时攻击者根本无需解锁屏幕即可实现对Windows 10设备的感染和入侵。 虽然这种方法确实可行，但在公开场合跟一台电脑对话还是会引起他人的注意。因此，还有人设计出了一种基于超声波来向语音助理软件发送命令的技术，而这种技术只需要一台价值3美元的设备就可以实现了。这种攻击方法被称为“海豚攻击“（Dolphin Attack），它可以对Amazon、苹果、Google、华为和三星的语音识别产品进行攻击。 利用Cortana窃取用户凭证 通过语音关键词触发了Cortana功能之后，攻击者甚至可以直接访问到目标用户的社交媒体账号。McAfee的研究人员表示，很多旧版本的IE 11浏览器都启用了JavaScript和Cookie，而这些内容是可以在Cortana访问了特定站点后直接被加载和调用的。 后话 但是这种攻击技术需要攻击者物理接近目标设备，因此这种技术不太有可能成为一种被广泛使用的技术，不过在怎么说这也是一种安全缺陷。McAfee建议广大用户在锁屏界面上禁用Cortana，以保护自己免受这种类型的攻击。 

在WannaCry两周年之际，Windows再次被曝出存在高危远程漏洞。5月15日，微软官方发布了5月安全更新补丁共修复了82个漏洞，其中包含针对远程桌面（RDP）服务远程代码执行漏洞CVE-2019-0708。 只不过想告诉你：Never Gonna Give You Up。 CVE-2019-0708 漏洞影响范围： Windows 7 Windows Server 2008 R2 Windows Server 2008 Windows Server 2003（已停止维护） Windows XP（已停止维护） 除了Win8、Win 10之外，几乎所有的Windows版本都受到这个漏洞的影响。尽管微软已经停止了对Windows 2003和Windows XP的支持，但由于这次漏洞危害程度较高，微软此次修复补丁也覆盖了所有的受影响的Windows版本。 安全建议 1.临时应对方法 在受影响版本的系统上启用网络级身份验证（NLA）；启用NLA后，攻击者需要使用目标系统上的有效账户对远程桌面服务进行身份验证，才能成功利用该漏洞。 微软官方建议，无论是否开启NLA，都应该尽快更新，彻底消除该漏洞的影响。 补丁下载 安全更新 系统版本 下载 影响 严重级别 Windows 7 x86 安全更新 远程执行代码 严重 Windows 7 x64 安全更新 远程执行代码 严重 Windows Embedded Standard 7 for x64 安全更新 远程执行代码 严重 Windows Embedded Standard 7 for x86 安全更新 远程执行代码 严重 Windows Server 2008 x64 安全更新 远程执行代码 严重 Windows Server 2008 Itanium 安全更新 远程执行代码 严重 Windows Server 2008 x86 安全更新 远程执行代码 严重 Windows Server 2008 R2 Itanium 安全更新 远程执行代码 严重 Windows Server 2008 R2 x64 安全更新 远程执行代码 严重 Windows Server 2003 x86 安全更新 远程执行代码 严重 Windows Server 2003 x64 安全更新 远程执行代码 严重 Windows XP SP3 安全更新 远程执行代码 严重 Windows XP SP2 for x64 安全更新 远程执行代码 严重 Windows XP SP3 for XPe 安全更新 远程执行代码 严重 WES09 and POSReady 2009 安全更新 远程执行代码 严重 Simon Pope，微软安全响应中心(MSRC)事件响应主管