Client Side Template Injection (CSTI)
Summary
Είναι όπως μια Server Side Template Injection αλλά στην πελάτη. Η SSTI μπορεί να σας επιτρέψει να εκτελέσετε κώδικα στον απομακρυσμένο διακομιστή, η CSTI θα μπορούσε να σας επιτρέψει να εκτελέσετε αυθαίρετο JavaScript κώδικα στον περιηγητή του θύματος.
Δοκιμή για αυτήν την ευπάθεια είναι πολύ παρόμοια με την περίπτωση της SSTI, ο διερμηνέας αναμένει ένα πρότυπο και θα το εκτελέσει. Για παράδειγμα, με ένα payload όπως {{ 7-7 }}
, αν η εφαρμογή είναι ευάλωτη θα δείτε ένα 0
, και αν όχι, θα δείτε το αρχικό: {{ 7-7 }}
AngularJS
Το AngularJS είναι ένα ευρέως χρησιμοποιούμενο πλαίσιο JavaScript που αλληλεπιδρά με το HTML μέσω χαρακτηριστικών που είναι γνωστά ως οδηγίες, μία αξιοσημείωτη είναι η ng-app
. Αυτή η οδηγία επιτρέπει στο AngularJS να επεξεργάζεται το περιεχόμενο HTML, επιτρέποντας την εκτέλεση JavaScript εκφράσεων μέσα σε διπλές αγκύλες.
Σε σενάρια όπου η είσοδος του χρήστη εισάγεται δυναμικά στο σώμα HTML που έχει επισημανθεί με ng-app
, είναι δυνατόν να εκτελούνται αυθαίρετος JavaScript κώδικας. Αυτό μπορεί να επιτευχθεί εκμεταλλευόμενοι τη σύνταξη του AngularJS μέσα στην είσοδο. Παρακάτω παρατίθενται παραδείγματα που δείχνουν πώς μπορεί να εκτελείται JavaScript κώδικας:
Μπορείτε να βρείτε ένα πολύ βασικό διαδικτυακό παράδειγμα της ευπάθειας στο AngularJS στο http://jsfiddle.net/2zs2yv7o/ και στο Burp Suite Academy
Η Angular 1.6 αφαίρεσε το sandbox οπότε από αυτή την έκδοση, ένα payload όπως {{constructor.constructor('alert(1)')()}}
ή <input ng-focus=$event.view.alert('XSS')>
θα πρέπει να λειτουργεί.
VueJS
Μπορείτε να βρείτε μια ευάλωτη υλοποίηση Vue στο https://vue-client-side-template-injection-example.azu.now.sh/
Λειτουργικό payload: https://vue-client-side-template-injection-example.azu.now.sh/?name=%7B%7Bthis.constructor.constructor(%27alert(%22foo%22)%27)()%7D%
Και ο κώδικας πηγής του ευάλωτου παραδείγματος εδώ: https://github.com/azu/vue-client-side-template-injection-example
Ένα πραγματικά καλό άρθρο για το CSTI στο VUE μπορεί να βρεθεί στο https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets
V3
Πίστωση: Gareth Heyes, Lewis Ardern & PwnFunction
V2
Credit: Mario Heiderich
Δείτε περισσότερα VUE payloads στο https://portswigger.net/web-security/cross-site-scripting/cheat-sheet#vuejs-reflected
Mavo
Payload:
Περισσότερα payloads στο https://portswigger.net/research/abusing-javascript-frameworks-to-bypass-xss-mitigations
Λίστα Ανίχνευσης Brute-Force
Last updated