Client Side Template Injection (CSTI)
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Approfondisci la tua esperienza in Mobile Security con 8kSec Academy. Masterizza la sicurezza di iOS e Android attraverso i nostri corsi autogestiti e ottieni una certificazione:
È simile a un Server Side Template Injection ma nel client. Il SSTI può consentirti di eseguire codice sul server remoto, il CSTI potrebbe consentirti di eseguire codice JavaScript arbitrario nel browser della vittima.
Testare questa vulnerabilità è molto simile al caso del SSTI, l'interprete si aspetta un template e lo eseguirà. Ad esempio, con un payload come {{ 7-7 }}
, se l'app è vulnerabile vedrai un 0
, e se non lo è, vedrai l'originale: {{ 7-7 }}
AngularJS è un framework JavaScript ampiamente utilizzato che interagisce con HTML attraverso attributi noti come direttive, una delle quali è ng-app
. Questa direttiva consente ad AngularJS di elaborare il contenuto HTML, abilitando l'esecuzione di espressioni JavaScript all'interno di doppie parentesi graffe.
In scenari in cui l'input dell'utente viene inserito dinamicamente nel corpo HTML contrassegnato con ng-app
, è possibile eseguire codice JavaScript arbitrario. Questo può essere ottenuto sfruttando la sintassi di AngularJS all'interno dell'input. Di seguito sono riportati esempi che dimostrano come il codice JavaScript può essere eseguito:
Puoi trovare un esempio online molto base della vulnerabilità in AngularJS in http://jsfiddle.net/2zs2yv7o/ e in Burp Suite Academy
Angular 1.6 ha rimosso il sandbox quindi da questa versione un payload come {{constructor.constructor('alert(1)')()}}
o <input ng-focus=$event.view.alert('XSS')>
dovrebbe funzionare.
Puoi trovare un'implementazione vulnerabile di Vue in https://vue-client-side-template-injection-example.azu.now.sh/
Payload funzionante: https://vue-client-side-template-injection-example.azu.now.sh/?name=%7B%7Bthis.constructor.constructor(%27alert(%22foo%22)%27)()%7D%
E il codice sorgente dell'esempio vulnerabile qui: https://github.com/azu/vue-client-side-template-injection-example
Un ottimo post su CSTI in VUE può essere trovato in https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets
Credit: Gareth Heyes, Lewis Ardern & PwnFunction
Credit: Mario Heiderich
Controlla altri payload VUE in https://portswigger.net/web-security/cross-site-scripting/cheat-sheet#vuejs-reflected
Payload:
Altri payload in https://portswigger.net/research/abusing-javascript-frameworks-to-bypass-xss-mitigations
Approfondisci la tua esperienza in Mobile Security con 8kSec Academy. Padroneggia la sicurezza di iOS e Android attraverso i nostri corsi autogestiti e ottieni una certificazione:
Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)