Server Side Inclusion/Edge Side Inclusion Injection
Server Side Inclusion Basic Information
(Introduction taken from Apache docs)
SSI (Server Side Includes) - це директиви, які розміщуються в HTML-сторінках і оцінюються на сервері під час їх обслуговування. Вони дозволяють вам додавати динамічно згенерований контент до існуючої HTML-сторінки, не обслуговуючи всю сторінку через CGI-програму або іншу динамічну технологію. Наприклад, ви можете розмістити директиву в існуючій HTML-сторінці, таку як:
<!--#echo var="DATE_LOCAL" -->
І, коли сторінка обслуговується, цей фрагмент буде оцінений і замінений на його значення:
Tuesday, 15-Jan-2013 19:28:54 EST
Рішення про те, коли використовувати SSI, а коли повністю генерувати вашу сторінку якоюсь програмою, зазвичай залежить від того, скільки з сторінки є статичним, а скільки потрібно перераховувати щоразу, коли сторінка обслуговується. SSI - це чудовий спосіб додати невеликі шматки інформації, такі як поточний час - показано вище. Але якщо більшість вашої сторінки генерується в момент її обслуговування, вам потрібно шукати інше рішення.
Ви можете зробити висновок про наявність SSI, якщо веб-додаток використовує файли з розширеннями ** .shtml
, .shtm
або .stm
**, але це не є єдиним випадком.
Типовий вираз SSI має наступний формат:
Перевірка
Edge Side Inclusion
Є проблема кешування інформації або динамічних додатків, оскільки частина контенту може варіюватися для наступного отримання контенту. Саме для цього використовується ESI, щоб вказати за допомогою тегів ESI динамічний контент, який потрібно згенерувати перед відправкою кешованої версії. Якщо зловмисник зможе впровадити тег ESI всередину кешованого контенту, тоді він зможе впровадити довільний контент у документ перед його відправкою користувачам.
ESI Detection
Наступний заголовок у відповіді від сервера означає, що сервер використовує ESI:
Якщо ви не можете знайти цей заголовок, сервер може використовувати ESI в будь-якому випадку. Можна також використовувати підхід сліпої експлуатації, оскільки запит має надійти на сервер атакуючого:
ESI експлуатація
GoSecure створив таблицю для розуміння можливих атак, які ми можемо спробувати проти різного програмного забезпечення, що підтримує ESI, залежно від підтримуваної функціональності:
Includes: Підтримує директиву
<esi:includes>
Vars: Підтримує директиву
<esi:vars>
. Корисно для обходу XSS фільтрівCookie: Документні куки доступні для ESI двигуна
Upstream Headers Required: Сурогатні програми не оброблятимуть ESI інструкції, якщо upstream програма не надає заголовки
Host Allowlist: У цьому випадку ESI включення можливі лише з дозволених серверних хостів, що робить SSRF, наприклад, можливим лише проти цих хостів
Програмне забезпечення | Includes | Vars | Cookies | Upstream Headers Required | Host Whitelist |
Squid3 | Так | Так | Так | Так | Ні |
Varnish Cache | Так | Ні | Ні | Так | Так |
Fastly | Так | Ні | Ні | Ні | Так |
Akamai ESI Test Server (ETS) | Так | Так | Так | Ні | Ні |
NodeJS esi | Так | Так | Так | Ні | Ні |
NodeJS nodesi | Так | Ні | Ні | Ні | Необов'язково |
XSS
Наступна ESI директива завантажить довільний файл всередині відповіді сервера
Обхід захисту XSS клієнта
Вкрасти Cookie
Віддалене вкрадення cookie
Вкрасти cookie HTTP_ONLY за допомогою XSS, відображаючи його у відповіді:
Приватний локальний файл
Не плутайте це з "Локальним включенням файлів":
CRLF
Open Redirect
Наступне додасть заголовок Location
до відповіді
Додати заголовок
Додати заголовок у примусовий запит
Додати заголовок у відповідь (корисно для обходу "Content-Type: text/json" у відповіді з XSS)
CRLF в заголовку Add (CVE-2019-2438)
Akamai debug
Це надішле інформацію для налагодження, включену у відповідь:
ESI + XSLT = XXE
Вказуючи значення xslt
для параметра dca, можливо включити eXtensible Stylesheet Language Transformations (XSLT)
на основі ESI. Включення змушує HTTP сурогат отримувати XML та XSLT файли, при цьому останній фільтрує перший. Такі XML файли можуть бути використані для атак XML External Entity (XXE), що дозволяє зловмисникам виконувати атаки SSRF. Однак корисність цього підходу обмежена, оскільки ESI вже служить вектором SSRF. Через відсутність підтримки в основній бібліотеці Xalan зовнішні DTD не обробляються, що запобігає витоку локальних файлів.
Файл XSLT:
Перевірте сторінку XSLT:
XSLT Server Side Injection (Extensible Stylesheet Language Transformations)Посилання
Список виявлення брутфорсу
Last updated