2019-3-9 dvwa学习(11)--Content Security Policy (CSP) Bypass绕过内容（网页）安全策略

Content Security Policy(CSP)，内容（网页）安全策略，为了缓解潜在的跨站脚本问题(XSS攻击)，浏览器的扩展程序系统引入了内容安全策略（CSP）这个概念。具体内容可以参见《Content Security Policy 入门教程》
在先前的XSS攻击介绍中，主要都是利用函数过滤/转义输入中的特殊字符，标签，文本来应对攻击。CSP则是另外一种常用的应对XSS攻击的策略。
CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置。
两种方法可以启用 CSP。

• 一种是通过 HTTP 响应头信息的Content-Security-Policy字段。
• 一种是通过网页的标签。

关于HTTP中CSP说明参见 https://cloud.tencent.com/developer/section/1189835
以上例子中的说明如下：

1. script-src，脚本：只信任当前域名
2. object-src：不信任任何URL，即不加载任何资源
3. style-src，样式表：只信任cdn.example.org和third-party.org
4. child-src：必须使用HTTPS协议加载。这个已从Web标准中删除，新版本浏览器可能不支持。
5. 其他资源：没有限制其他资源

启用CSP后，不符合 CSP 的外部资源就会被阻止加载。

那么攻击者如何来绕过CSP进行攻击呢？
来看dvwa中的例子

low
先看源码

";
}
$page[ 'body' ] .= '

    
You can include scripts from external sources, examine the Content Security Policy and enter a URL to include here:
    
    

';

观察头信息，罗列允许JavaScript的网站

$headerCSP = "Content-Security-Policy: script-src 'self' https://pastebin.com  example.com code.jquery.com https://ssl.google-analytics.com ;"; 

我们也可以在网页提交信息时候，通过开发者工具也可以观察同样的结果

此时可以上pastebin网站上自己写一个javascript代码alert(“hahaha”)，保存后记住链接，
https://pastebin.com/raw/zSLDySJn

然后在上面界面中输入链接，结果如下

看到嘛，在pastebin上保存的js代码被执行了。那就是因为pastebin网站是被信任的。攻击者可以把恶意代码保存在收信任的网站上，然后把链接发送给用户点击，实现注入。

medium
看一下源码

alert(1)

?>

    
Whatever you enter here gets dropped directly into the page, see if you can get an alert box to pop up.
    
    

';

http头信息中的script-src的合法来源发生了变化，说明如下

• unsafe-inline，允许使用内联资源，如内联< script>元素，javascript:URL，内联事件处理程序（如onclick）和内联< style>元素。必须包括单引号。
• nonce-source，仅允许特定的内联脚本块，nonce=“TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA”

现在更加简单了，可以直接输入以下代码

结果注入成功

不用解释了吧，nonce是设定好的，允许运行。

high
继续看源码

 

    
The page makes a call to ' . DVWA_WEB_PAGE_TO_ROOT . '/vulnerabilities/csp/source/jsonp.php to load some code. Modify that page to run your own code.
    
1+2+3+4+5=
    



';

vulnerabilities/csp/source/high.js
function clickButton() {
    var s = document.createElement("script");
    s.src = "source/jsonp.php?callback=solveSum";
    document.body.appendChild(s);
}

function solveSum(obj) {
    if ("answer" in obj) {
        document.getElementById("answer").innerHTML = obj['answer'];
    }
}

var solve_button = document.getElementById ("solve");

if (solve_button) {
    solve_button.addEventListener("click", function() {
        clickButton();
    });
}

说明如下：

• CSP头设置，只允许自身加载JS（script-src ‘self’）