Abusing Service Workers
Try Hard Security Group
基本情報
サービスワーカーは、ブラウザがバックグラウンドで実行するスクリプトであり、Webページやユーザーの操作を必要としない機能を可能にし、オフラインおよびバックグラウンド処理の機能を強化します。サービスワーカーの詳細情報はこちらで見つけることができます。脆弱なWebドメイン内のサービスワーカーを悪用することで、攻撃者はそのドメイン内のすべてのページとの被害者のやり取りを制御することができます。
既存のサービスワーカーの確認
既存のサービスワーカーは、開発者ツールのアプリケーションタブのサービスワーカーセクションで確認できます。別の方法として、より詳細なビューを得るためにchrome://serviceworker-internalsを訪れることができます。
プッシュ通知
プッシュ通知の許可は、サービスワーカーが直接ユーザーの操作なしにサーバーと通信する能力に直接影響します。許可が拒否されると、サービスワーカーの潜在能力が制限され、継続的な脅威をもたらす可能性があります。逆に、許可を与えることで、潜在的な脆弱性の受信と実行を可能にすることでセキュリティリスクが増加します。
サービスワーカーを作成する攻撃
この脆弱性を悪用するには、次のものを見つける必要があります:
任意のJSファイルをサーバーにアップロードする方法と、アップロードされたJSファイルのサービスワーカーをロードするXSS
出力を操作できる脆弱なJSONPリクエストと、任意のJSコードで出力を操作できる脆弱なJSONPにペイロードをロードするXSSと、悪意のあるサービスワーカーをロードするためのペイロード
以下の例では、fetch
イベントをリッスンし、取得されたすべてのURLを攻撃者のサーバーに送信する新しいサービスワーカーを登録するコードを示します:
そして、これがワーカーを登録するコードです(XSSを悪用して実行できるはずのコード)。この場合、攻撃者のサーバーにGETリクエストが送信され、サービスワーカーの登録が成功したかどうかが通知されます:
脆弱なJSONPエンドポイントを悪用する場合は、値をvar sw
の内部に配置する必要があります。例:
Service Worker (SW) の悪用に特化した C2 があり、Shadow Workers と呼ばれており、これらの脆弱性を悪用するのに非常に役立ちます。
24時間キャッシュディレクティブ は、XSSの脆弱性が修正された後、オンラインクライアントの状態を前提として、悪意のあるまたは侵害された service worker (SW) の寿命を最大で24時間に制限します。脆弱性を最小限に抑えるために、サイトの運営者は SW スクリプトの Time-To-Live (TTL) を下げることができます。開発者はまた、迅速な無効化のために service worker kill-switch を作成することが推奨されています。
DOM Clobbering を介した SW での importScripts
の悪用
importScripts
の悪用Service Worker から呼び出される importScripts
関数は、異なるドメインからスクリプトをインポート することができます。この関数が 攻撃者が変更できるパラメータ を使用して呼び出された場合、彼は 自身のドメインから JS スクリプトをインポート し、XSS を取得することができます。
これは CSP の保護をバイパスします。
脆弱なコードの例:
index.html
sw.js
DOM Clobberingを使用する
DOM Clobberingについての詳細は、以下を参照してください:
pageDom ClobberingSWが**importScripts
を呼び出すURL/ドメインがHTML要素内にある場合、DOM Clobberingを使用してそれを変更し、SWが自分自身のドメインからスクリプトを読み込むように**することが可能です。
これの例については、参照リンクを確認してください。
参考文献
Try Hard Security Group
Last updated