摘要：本文介绍了作者从Avast桌面防病毒软件发现的反射性XSS漏洞（CVE-2019–18653）

漏洞再发

  1.在Windows系统上安装Avast防病毒软件；

  2.构建一个SSID名称为XSS Payload且不超过32个字符的无线网络。 请参阅BruteLogic和s0md3v给出的简短的XSS有效载荷构造方法

3.打开Avast防病毒软件，使用XSS Payload连接到新建的无线网络，然后等待Avast Network Notification（Avast网络通知），它将在无线网络SSID中触发XSS Payload。

  发现过程

  几年前，我看到安全研究员Deral Heiland测试了一些大型公司产品时，他们使用SSID包含XSS Payload构建了一个无线网络，以测试这些软件在连接到该恶意无线网络时是否会触发XSS执行。 最后，他发现许多软件都具有此类漏洞。 他在2013年获得了有关在BLACK HAT上使用恶意服务集标识符（SSID）进行实际利用的技术共享。基于他的发现，我还在OS X系统中构建了具有SSID和XSS有效载荷的无线网络，以用于某些测试用途 。

  几个月后，我购买了另一台笔记本电脑（内置Windows），为方便起见，我将这台新购买的笔记本电脑连接到OS X系统的无线网络，并带有包括XSS Payload在内的SSID，并进行了下载。 安装了一些必要的应用程序软件，最后安装了Avast防病毒软件。 然后有一天，当我使用这台新购买的笔记本电脑进行在线培训时，网络连接突然出现问题。 计算机自动连接到我之前安装软件的无线共享网络，并且桌面上包含链接https：//本地。 来自avast.com的弹出窗口（如漏洞重复出现所示）。

  我有点困惑，然后我发现我曾经在OS X系统中的SSID包含XSS Payload的无线网络上安装Avast防病毒软件。 现在，Avast防病毒软件突然连接到该无线网络，并且内置了防火墙。Avast网络通知触发了包含XSS有效载荷的SSID。 由于弹出窗口，形成了XSS漏洞。

测试过程

  根据Avast的官方介绍，Avast是具有下一代网络攻击防护功能的领先防病毒供应商。 它可以实时阻止异常流量和黑客攻击，并专注于保护用户隐私和信息安全。  Avast具有先进的端到端保护技术。 内置的“防火墙”功能是一种典型的应用程序，可以实时捕获出入用户系统的异常流量。 在默认配置中，当Avast连接到网络时，防火墙将自动给出网络访问提示（Avast Network Notification），如下图所示，它将提示用户，Avast的当前访问网络以及系统是 “我的热点”无线网络。

弹出窗口后，用户可以选择当前接入网络的类型。 有两个选项：“私人”和“公共”，但是问题在于网络访问提示（Avast Network Notification）不会对SSID字段执行过滤。 如果攻击者构建的SSID名称包含像我这样的恶意XSS有效载荷，则该用户将受到XSS的攻击。

  XSS攻击

  攻击者可以使用特殊符号，例如“> <：/ ;.与存储的XSS不同，在这种反射性XSS方案中，只要用户访问XSS Payload中的恶意URL链接，就有可能发生XSS攻击。 无线网络的SSID长度只能为32个字符或更少，但是我们仍然可以通过短地址方法克服这一限制，有关详细信息，请参考Brute Logic和Somd3v的一些研究技术。

  https://brutelogic.com.br/blog/shortest-reflected-xss-possible/

  https://github.com/s0md3v/AwesomeXSS

  XSS有效载荷短

  一开始，我成功地构造了弹出窗口，但我不知道如何深入使用它。 多亏了Brute Logic和S0md3v的研究，我形成了一个简短的XSS有效负载，有效地达到了预期的效果。

弹出窗口后，用户可以选择当前接入网络的类型。 有两个选项：“私人”和“公共”，但是问题在于网络访问提示（Avast Network Notification）不会对SSID字段执行过滤。 如果攻击者构建的SSID名称包含像我这样的恶意XSS有效载荷，则该用户将受到XSS的攻击。

  漏洞影响版本

  经过测试，在Windows 10下，该漏洞会影响以下产品：

  Avast Internet Security版本19.3.2369（内部版本19.3.4241.440）和Avast Free Antivirus的Premiere型产品

  ** G Internet Security版本19.3.3084（内部版本19.3.4241.440）

  脆弱性

  攻击者使用Avast Network Notification弹出窗口在访问的无线网络的SSID中嵌入了恶意URL链接。 经过分析，结果表明一些重要的登录窗口被伪造并诱使Avast用户输入相关的密码凭据。 在后台窃取用户信息。

  漏洞报告和处理

  2019.3.21：发现漏洞

  2019.3.22：将漏洞提交到bugs@avast.com

  2019.3.25：Avast确认该漏洞并给出相关解释

  2019.5.24：Avast 19.4已修复Avast响应漏洞

  2019.6.12：Avast认为该漏洞是严重漏洞（Reverious），并计划奖励我5000美元

  2019.10.30：漏洞编号为CVE-2019–18653（Avast）和CVE-2019–18654（** G）