Server Side Inclusion/Edge Side Inclusion Injection
Informations de Base sur l'Inclusion Côté Serveur
(Introduction tirée de la documentation Apache)
SSI (Server Side Includes) sont des directives qui sont placées dans des pages HTML et évaluées sur le serveur pendant que les pages sont servies. Elles vous permettent d'ajouter du contenu généré dynamiquement à une page HTML existante, sans avoir à servir l'intégralité de la page via un programme CGI ou une autre technologie dynamique. Par exemple, vous pourriez placer une directive dans une page HTML existante, comme ceci :
<!--#echo var="DATE_LOCAL" -->
Et, lorsque la page est servie, ce fragment sera évalué et remplacé par sa valeur :
Mardi, 15-Jan-2013 19:28:54 EST
La décision d'utiliser SSI ou de générer entièrement votre page à l'aide d'un programme est généralement une question de savoir quelle partie de la page est statique et quelle partie doit être recalculée à chaque fois que la page est servie. SSI est un excellent moyen d'ajouter de petits morceaux d'informations, comme l'heure actuelle - montrée ci-dessus. Mais si la majorité de votre page est générée au moment où elle est servie, vous devez chercher une autre solution.
Vous pouvez déduire la présence de SSI si l'application web utilise des fichiers avec les extensions ** .shtml
, .shtm
ou .stm
**, mais ce n'est pas toujours le cas.
Une expression SSI typique a le format suivant:
Vérification
Inclusion côté serveur
Il y a un problème de mise en cache des informations ou des applications dynamiques car une partie du contenu peut varier la prochaine fois que le contenu est récupéré. C'est là que ESI est utilisé, pour indiquer en utilisant des balises ESI le contenu dynamique qui doit être généré avant d'envoyer la version mise en cache. si un attaquant est capable d'injecter une balise ESI à l'intérieur du contenu mis en cache, alors, il pourrait être en mesure d'injecter du contenu arbitraire dans le document avant qu'il ne soit envoyé aux utilisateurs.
Détection de l'ESI
L'en-tête suivant dans une réponse du serveur signifie que le serveur utilise l'ESI:
Si vous ne trouvez pas cet en-tête, le serveur pourrait quand même utiliser ESI. Une approche d'exploitation aveugle peut également être utilisée car une requête devrait arriver sur le serveur des attaquants :
Exploitation d'ESI
GoSecure a créé un tableau pour comprendre les attaques possibles que nous pouvons essayer contre différents logiciels capables d'ESI, en fonction de la fonctionnalité prise en charge :
Includes : Prend en charge la directive
<esi:includes>
Vars : Prend en charge la directive
<esi:vars>
. Utile pour contourner les filtres XSSCookie : Les cookies du document sont accessibles au moteur ESI
En-têtes amont requis : Les applications de substitution ne traiteront pas les déclarations ESI à moins que l'application amont ne fournisse les en-têtes
Liste blanche d'hôtes : Dans ce cas, les inclusions ESI ne sont possibles que depuis les hôtes de serveur autorisés, rendant par exemple les SSRF possibles uniquement contre ces hôtes
Logiciel
Includes
Vars
Cookies
En-têtes amont requis
Liste blanche d'hôtes
Squid3
Oui
Oui
Oui
Oui
Non
Varnish Cache
Oui
Non
Non
Oui
Oui
Fastly
Oui
Non
Non
Non
Oui
Akamai ESI Test Server (ETS)
Oui
Oui
Oui
Non
Non
NodeJS esi
Oui
Oui
Oui
Non
Non
NodeJS nodesi
Oui
Non
Non
Non
Optionnel
XSS
La directive ESI suivante chargera un fichier arbitraire à l'intérieur de la réponse du serveur
Contourner la protection XSS côté client
Vol de Cookie
Vol de cookie à distance
Voler le cookie HTTP_ONLY avec XSS en le reflétant dans la réponse :
Fichier local privé
Ne pas confondre avec une "inclusion de fichier local" :
CRLF
CRLF stands for Carriage Return Line Feed.
Redirection ouverte
Ce qui suit ajoutera un en-tête Location
à la réponse
Ajouter un en-tête
Ajouter un en-tête dans la requête forcée
Ajouter un en-tête dans la réponse (utile pour contourner "Content-Type: text/json" dans une réponse avec XSS)
CRLF dans l'ajout d'en-tête (CVE-2019-2438)
Akamai debug
Cela enverra des informations de débogage incluses dans la réponse :
ESI + XSLT = XXE
En spécifiant la valeur xslt
pour le paramètre dca, il est possible d'inclure des ESI basés sur eXtensible Stylesheet Language Transformations (XSLT)
. L'inclusion amène le serveur proxy HTTP à récupérer les fichiers XML et XSLT, ce dernier filtrant le premier. Ces fichiers XML sont exploitables pour des attaques XML External Entity (XXE), permettant aux attaquants d'exécuter des attaques SSRF. Cependant, l'utilité de cette approche est limitée car les ESI inclus servent déjà de vecteur SSRF. En raison de l'absence de prise en charge dans la bibliothèque sous-jacente Xalan, les DTD externes ne sont pas traités, empêchant l'extraction de fichiers locaux.
Fichier XSLT :
Vérifiez la page XSLT :
Références
Liste de détection de force brute
Last updated