转载自:https://mp.weixin.qq.com/s/ljBB5jStB7fcJq4cgdWnnw
本文作者:梅子酒(来自信安之路学生渗透小组)
赠送书籍:《Android应用安全防护和逆向分析》
活动地址:信安之路五月送书活动
CSP 全称 Content Security Policy,即内容安全策略。CSP 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括 XSS 和注入。
CSP 被设计为完全向后兼容,在不同的浏览器上,不会因是否支持 CSP 而产生冲突问题。在不进行特定设置之前,默认为网页使用标准的同源策略。
通常可以使用 meta 标签来设置 CSP,或者使用 php 的 header 函数来进行相关属性的设置。
CSP 的配置会直接影响到页面加载资源的方式,在适当配置的情况下,可以有效的防范 XSS 攻击。
我们通过 Content-Security-Policy 头信息来进行 CSP 的设置,通常格式如下:
Content-Security-Policy: policy
其中,policy 部分对应的为具体的内容安全策略。
一个策略由一系列的策略指令组成,每个策略都描述了一个针对某个特定类型资源以及生效范围的策略。
网上对于相关指令和资源表的说明已经很多了,我就不再赘述。
Common Policy Bypass
目前在比赛中常见的绕过 CSP 一般是:
script-src ‘self’ ‘unsafe-inline’
script-src ‘self’ ‘unsafe-eval’
script-src ‘nonce-*’
通常情况下,除了 CSP 之外,还都会搭配一定的过滤措施来让选手进行绕过。
这里有几个例子,我就不再多说:
1、0CTF 2018 h4x0rs.club2 writeup
http://sec2hack.com/ctf/0ctf2018-h4x0rs-club2.html
2、Google CTF 2016 Wallowing Wallabies - Part Three
http://countersite.org/articles/web-vulnerability/83-web-writeup-googlectf-wallowing-wallabies.html
Bypass “script-src ‘self’ “
在前几天的 PlaidCTF 中,出现了如下的 CSP:
Content-Security-Policy: style-src ‘self’ https://fonts.googleapis.com; font-src ‘self’ https://fonts.gstatic.com; media-src ‘self’ blob:; script-src ‘self’; object-src ‘self’; frame-src ‘self’
script-src 'self'
代表着只能加载符合同源策略的文件,直接插入至 html 页面中的静态 script 标签将无法执行。结合其他 CSP 来看,常用的 iframe,object 等标签也是无法被绕过的。
我尝试着使用 link 的预加载机制去带出 cookie,然而受限于 script-src 'self'
的限制,虽然能够通过 dns 带出信息,但是无法将 cookie 带出来,因此预加载也是无法使用的。
于是只能另外寻找突破口,在查阅大量资料后发现,可以通过引入正常的非 js 文件来达到引入 js 脚本的效果。考虑到题目中具有上传点,可以将 js 代码插入到尾部来进行绕过。
本地搭建环境进行测试:
xss.html
内容为:
cc.wave
内容为:
执行效果为:
可以看到注释部分并未对js的执行起到干扰,因此这种攻击手法是可行的。
在进行上传时,后端会进行文件格式校验,因此需要在保证文件格式验证正确的情况进行绕过,在录音选项中,上传的文件为 webm 格式,文件头是不可见字符,在引入 js 文件时,会产生错误,因此需要引入文件的文件头是可见字符。
这里对比下两者的文件格式便很明显了:
wav 文件文件头(第三十五行):
webm 文件文件头(红线处开始)
wav 格式的文件是以 RIFF 明文开头的,可以使用我上面所用到的攻击方法去构造 xss 代码,而 webm 开头为乱码,在执行时,会因为产生报错而中止执行。
在绕过文件格式检查之后,js 会根据文件格式给定一个 MIME-TYPE,在带入 src 属性的时候,audio 的 Type 会和可执行脚本产生冲突,因此 wav 文件无法代入,而 wave 在 MIME 转换的名单之外,因此在上传成功 wave 文件时,其 MIME-TYPE 并不会与 src 冲突。
因此直接在 description 中写入:
<script src=”https://idiot.chal.pwning.xxx/uploads/upload_5aee08ef0275e0.94993532.wave“></script>
即可拿到 cookie 作为 idolt1 登陆,接下来的就是审计 js,上传 wave 文件动态添加 xss 代码即可。
Bypass 文件格式的重点在于 javascript 在遇到”变量+运算符+变量”格式的表达式时,可以将注释插入其中,并且不会产生干扰。
在这个题目中,难点有两个:
1、绕过 self 限制
2、构造出符合文件内容检查的文件
同样的,我对于 php 是否会有此类特性也感到好奇,在经过测试后发现,在插入注释后,php 的执行也不会被干扰。而 python 因为不具有行内注释的操作而无法做到上述操作。
之前看某篇 paper,其中曾提到使用 GIF 绕过 CSP,其中的部分思路和我上面用到的有部分相似。Paper 链接如下:
https://www.slideshare.net/x00mario/jsmvcomfg-to-sternly-look-at-javascript-mvc-and-templating-frameworks/3-TodayJavaScript_MVC_Templating_FrameworksWhy_Because
首先,同样是上传 GIF,使得 GIF 与目标网站处于同源下,然后使用 Angular 的 class 去调用这个 GIF 文件,然后会生成 script 标签,并且其 src 属性是 GIF 文件,此时 GIF 中的内容被作为 js 代码解析了,并且因为处于同源情况下,因此可以顺利触发 xss。
CSP 作为内容安全策略,在合理配置的情况,可以极大的提高 xss 的攻击成本,以达到较好的防御效果,然而部署成本同样较高,一是熟练掌握相关策略带来的难度,一是配置 CSP 所带来的工作量。
CSP 的不当配置不仅会引发安全问题,还有可能导致页面资源加载失败,但总的来说,CSP 仍然是防范 XSS 攻击较为优秀的措施。