控制web消息源
翻译
原文:https://portswigger.net/web-security/dom-based/controlling-the-web-message-source
- name: 翻译
desc: 原文:https://portswigger.net/web-security/dom-based/controlling-the-web-message-source
bgColor: '#F0DFB1'
textColor: 'green'
2
3
4
# 控制web消息源
在本节中,我们将了解如何将 Web 消息用作为收件人页面上的 DOM 漏洞来源。我们还将描述这种攻击是如何构建的,包括如何绕过常见的来源验证技术。
如果页面以不安全的方式处理传入的 Web 消息(例如,未在事件监听器中正确验证传入消息的来源),则事件监听器调用的属性和函数 可能会成为接收器。例如,攻击者可以托管恶意iframe并使用postMessage()方法将 Web 消息数据传递给易受攻击的事件监听器,随后监听器将会把有效负载发送到父页面上的接收器。此行为意味着,你可以把 Web 消息作为任何接收器的源,并将恶意数据传播到其中。
# 1基于DOM的web消息漏洞有什么影响?
此漏洞的潜在影响 取决于 目标文档对传入消息的处理方式。例如,如果目标文档信任 “发送方不会在消息中传输恶意数据”,然后将数据传递到接收器中,并以不安全的方式处理数据,则两个文档的联合行为可能允许攻击者危害用户。
# 2如何将Web消息作为攻击源
请考虑以下代码:
<script>
window.addEventListener('message', function(e) {
eval(e.data);
});
</script>
2
3
4
5
这很容易受到攻击,因为攻击者可以通过构造以下iframe来注入 JavaScript 有效负载:
<iframe src="//vulnerable-website" onload="this.contentWindow.postMessage('print()','*')">
由于事件监听器不验证消息的来源,并且postMessage()方法指定了targetOrigin为"*",因此事件监听器将会接收有效负载,并将其传递到接收器中,在本例中的接收器为eval()函数。
- name: 实验室-从业者
desc: 使用Web消息的DOM型XSS >>
avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
link: https://portswigger.net/web-security/dom-based/controlling-the-web-message-source/lab-dom-xss-using-web-messages
bgColor: '#001350'
textColor: '#4cc1ff'
2
3
4
5
6
- name: 实验室-从业者
desc: 使用Web消息和JavaScript URL的DOM型XSS >>
avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
link: https://portswigger.net/web-security/dom-based/controlling-the-web-message-source/lab-dom-xss-using-web-messages-and-a-javascript-url
bgColor: '#001350'
textColor: '#4cc1ff'
2
3
4
5
6
# 3来源验证
即使事件监听器 确实包含某种形式的来源验证,但这个验证步骤 有时也可能存在一定的缺陷。例如,请考虑以下代码:
window.addEventListener('message', function(e) {
if (e.origin.indexOf('normal-website.com') > -1) {
eval(e.data);
}
});
2
3
4
5
indexOf方法用于验证传入消息的来源是否为normal-website.com域。但实际上,它只检查字符串"normal-website.com"是否包含在源 URL 中的任何位置。因此,如果恶意消息的来源为http://www.normal-website.com.evil.net域,则攻击者可以轻松地绕过此验证步骤。
同样的缺陷也适用于通过startsWith()或endsWith()方法实现的验证检查。例如,以下事件监听器会将源http://www.malicious-websitenormal-website.com视为安全:
window.addEventListener('message', function(e) {
if (e.origin.endsWith('normal-website.com')) {
eval(e.data);
}
});
2
3
4
5
- name: 实验室-从业者
desc: 使用Web消息和`JSON.parse`的DOM型XSS >>
avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
link: https://portswigger.net/web-security/dom-based/controlling-the-web-message-source/lab-dom-xss-using-web-messages-and-json-parse
bgColor: '#001350'
textColor: '#4cc1ff'
2
3
4
5
6
# 4哪些接收器会导致基于DOM的Web消息漏洞?
只要网站 缺乏足够的来源验证,从而接收来自不受信任源的 Web 消息数据,并将消息传入事件监听器,则使用的任何接收器都可能导致漏洞。