SOME - Same Origin Method Execution
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
페이지에서 제한된 자바스크립트를 실행할 수 있는 경우가 있습니다. 예를 들어, 실행될 콜백 값을 제어할 수 있는 경우입니다.
이 경우, 할 수 있는 가장 좋은 일 중 하나는 DOM에 접근하여 그곳에서 찾을 수 있는 어떤 민감한 작업을 호출하는 것입니다(예: 버튼 클릭). 그러나 일반적으로 이 취약점은 DOM에 흥미로운 것이 없는 작은 엔드포인트에서 발견됩니다.
이러한 시나리오에서 이 공격은 매우 유용합니다. 그 이유는 같은 도메인의 다른 페이지에서 DOM 내의 제한된 JS 실행을 남용할 수 있는 것이기 때문입니다.
기본적으로 공격 흐름은 다음과 같습니다:
남용할 수 있는 콜백을 찾습니다 (잠재적으로 [\w\._]로 제한됨).
제한이 없고 어떤 JS도 실행할 수 있다면, 일반 XSS처럼 남용할 수 있습니다.
피해자가 공격자가 제어하는 페이지를 열도록 만듭니다.
페이지가 다른 창에서 스스로 열립니다 (새 창은 초기 페이지를 참조하는 opener
객체를 가집니다).
초기 페이지는 흥미로운 DOM이 위치한 페이지를 로드합니다.
두 번째 페이지는 콜백을 남용하는 취약한 페이지를 로드하고 opener
객체를 사용하여 초기 페이지에서 어떤 작업을 접근하고 실행합니다 (이제 흥미로운 DOM을 포함하고 있습니다).
초기 페이지가 두 번째 페이지를 생성한 후 새 URL에 접근하더라도, 두 번째 페이지의 opener
객체는 새 DOM에서 첫 번째 페이지에 대한 유효한 참조입니다.
또한, 두 번째 페이지가 opener 객체를 사용할 수 있으려면 두 페이지 모두 같은 출처에 있어야 합니다. 이것이 이 취약점을 남용하기 위해 같은 출처의 XSS를 찾아야 하는 이유입니다.
이 양식을 사용하여 이 유형의 취약점을 악용하기 위한 PoC를 생성할 수 있습니다: https://www.someattack.com/Playground/SOMEGenerator
클릭할 HTML 요소에 대한 DOM 경로를 찾기 위해 이 브라우저 확장 프로그램을 사용할 수 있습니다: https://www.someattack.com/Playground/targeting_tool
취약한 예제를 https://www.someattack.com/Playground/에서 찾을 수 있습니다.
이 예제에서 서버는 자바스크립트 코드를 생성하고 콜백 매개변수의 내용에 따라 HTML에 추가하고 있습니다: <script>opener.{callbacl_content}</script>
. 그래서 이 예제에서는 opener
의 사용을 명시적으로 나타낼 필요가 없습니다.
이 CTF 작성도 확인하세요: https://ctftime.org/writeup/36068
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)