DOM XSS

Reading time: 9 minutes

DOM Вразливості

DOM вразливості виникають, коли дані з джерел, контрольованих зловмисником (sources, такі як location.search, document.referrer або document.cookie), небезпечно передаються до синків. Синки - це функції або об'єкти (наприклад, eval(), document.body.innerHTML), які можуть виконувати або відображати шкідливий контент, якщо отримують зловмисні дані.

• Джерела - це вхідні дані, які можуть бути маніпульовані зловмисниками, включаючи URL-адреси, куки та веб-повідомлення.
• Синки - це потенційно небезпечні кінцеві точки, де зловмисні дані можуть призвести до негативних наслідків, таких як виконання скриптів.

Ризик виникає, коли дані течуть від джерела до синка без належної валідації або очищення, що дозволяє атакам, таким як XSS.

Загальні джерела:

document.URL
document.documentURI
document.URLUnencoded
document.baseURI
location
document.cookie
document.referrer
window.name
history.pushState
history.replaceState
localStorage
sessionStorage
IndexedDB(mozIndexedDB, webkitIndexedDB, msIndexedDB)
Database

Загальні сінки:

Сінк innerHTML не приймає script елементи в жодному сучасному браузері, і події svg onload не спрацюють. Це означає, що вам потрібно використовувати альтернативні елементи, такі як img або iframe.

Цей вид XSS, ймовірно, є найскладнішим для виявлення, оскільки вам потрібно заглянути всередину коду JS, перевірити, чи використовується будь-який об'єкт, значення якого ви контролюєте, і в такому випадку перевірити, чи є будь-який спосіб зловживання ним для виконання довільного JS.

Інструменти для їх знаходження

• https://github.com/mozilla/eslint-plugin-no-unsanitized
• Розширення браузера для перевірки всіх даних, які досягають потенційного сінка: https://github.com/kevin-mizu/domloggerpp

Приклади

Відкритий редирект

З: https://portswigger.net/web-security/dom-based/open-redirection

Вразливості відкритого редиректу в DOM виникають, коли скрипт записує дані, які може контролювати зловмисник, у сінк, здатний ініціювати навігацію між доменами.

Важливо розуміти, що виконання довільного коду, такого як javascript:alert(1), можливе, якщо ви контролюєте початок URL, де відбувається редирект.

Сінки:

location
location.host
location.hostname
location.href
location.pathname
location.search
location.protocol
location.assign()
location.replace()
open()
domElem.srcdoc
XMLHttpRequest.open()
XMLHttpRequest.send()
jQuery.ajax()
$.ajax()

Маніпуляція з куками

З: https://portswigger.net/web-security/dom-based/cookie-manipulation

Вразливості, пов'язані з маніпуляцією з куками на основі DOM, виникають, коли скрипт включає дані, які можуть контролюватися зловмисником, у значення куки. Ця вразливість може призвести до несподіваної поведінки веб-сторінки, якщо кука використовується на сайті. Крім того, її можна експлуатувати для проведення атаки фіксації сесії, якщо кука залучена до відстеження сесій користувачів. Основний sink, пов'язаний з цією вразливістю, це:

Sinks:

document.cookie

Впровадження JavaScript

З: https://portswigger.net/web-security/dom-based/javascript-injection

Вразливості впровадження JavaScript на основі DOM виникають, коли скрипт виконує дані, які можуть контролюватися зловмисником, як код JavaScript.

Синьки:

eval()
Function() constructor
setTimeout()
setInterval()
setImmediate()
execCommand()
execScript()
msSetImmediate()
range.createContextualFragment()
crypto.generateCRMFRequest()

Маніпуляція документом-доменом

З: https://portswigger.net/web-security/dom-based/document-domain-manipulation

Вразливості маніпуляції документом-доменом виникають, коли скрипт встановлює властивість document.domain, використовуючи дані, якими може керувати зловмисник.

Властивість document.domain відіграє ключову роль у забезпеченні політики однакового походження браузерами. Коли дві сторінки з різних походжень встановлюють свій document.domain на однакове значення, вони можуть взаємодіяти без обмежень. Хоча браузери накладають певні обмеження на значення, які можна присвоювати document.domain, заважаючи присвоєнню абсолютно несумісних значень фактичному походженню сторінки, існують винятки. Зазвичай браузери дозволяють використання дочірніх або батьківських доменів.

Синьки:

document.domain

WebSocket-URL poisoning

From: https://portswigger.net/web-security/dom-based/websocket-url-poisoning

WebSocket-URL poisoning відбувається, коли скрипт використовує керовані дані як цільовий URL для з'єднання WebSocket.

Sinks:

Конструктор WebSocket може призвести до вразливостей WebSocket-URL poisoning.

Link manipulation

From: https://portswigger.net/web-security/dom-based/link-manipulation

Вразливості маніпуляції посиланнями на основі DOM виникають, коли скрипт записує дані, що контролюються атакуючим, до цільового навігаційного елемента на поточній сторінці, такого як клікабельне посилання або URL відправки форми.

Sinks:

someDOMElement.href
someDOMElement.src
someDOMElement.action

Маніпуляція запитами Ajax

З: https://portswigger.net/web-security/dom-based/ajax-request-header-manipulation

Вразливості маніпуляції запитами Ajax виникають, коли скрипт записує дані, контрольовані атакуючими, у запит Ajax, який надсилається за допомогою об'єкта XmlHttpRequest.

Синьки:

XMLHttpRequest.setRequestHeader()
XMLHttpRequest.open()
XMLHttpRequest.send()
jQuery.globalEval()
$.globalEval()

Маніпуляція з локальними шляхами файлів

З: https://portswigger.net/web-security/dom-based/local-file-path-manipulation

Вразливості маніпуляції з локальними шляхами файлів виникають, коли скрипт передає дані, контрольовані атакуючим, до API обробки файлів як параметр filename. Цю вразливість може експлуатувати атакуючий, щоб створити URL, який, якщо його відвідає інший користувач, може призвести до відкриття або запису довільного локального файлу в браузері користувача.

Синьки:

FileReader.readAsArrayBuffer()
FileReader.readAsBinaryString()
FileReader.readAsDataURL()
FileReader.readAsText()
FileReader.readAsFile()
FileReader.root.getFile()
FileReader.root.getFile()

Впровадження SQL-ін'єкцій на стороні клієнта

З: https://portswigger.net/web-security/dom-based/client-side-sql-injection

Вразливості SQL-ін'єкцій на стороні клієнта виникають, коли скрипт включає дані, контрольовані атакуючими, у SQL-запит на стороні клієнта ненадійним способом.

Синьки:

executeSql()

HTML5-storage manipulation

From: https://portswigger.net/web-security/dom-based/html5-storage-manipulation

Вразливості маніпуляції з HTML5-сховищем виникають, коли скрипт зберігає дані, контрольовані атакуючим, у HTML5-сховищі веб-браузера (localStorage або sessionStorage). Хоча ця дія сама по собі не є вразливістю безпеки, вона стає проблематичною, якщо програма потім читає збережені дані та обробляє їх ненадійно. Це може дозволити атакуючому використовувати механізм сховища для проведення інших атак на основі DOM, таких як міжсайтове скриптування та ін'єкція JavaScript.

Sinks:

sessionStorage.setItem()
localStorage.setItem()

XPath ін'єкція

З: https://portswigger.net/web-security/dom-based/client-side-xpath-injection

Вразливості DOM-ін'єкції XPath виникають, коли скрипт включає дані, контрольовані атакуючими, в запит XPath.

Sinks:

document.evaluate()
someDOMElement.evaluate()

Впровадження JSON на стороні клієнта

З: https://portswigger.net/web-security/dom-based/client-side-json-injection

Вразливості впровадження JSON на основі DOM виникають, коли скрипт включає дані, контрольовані атакуючим, у рядок, який розбирається як структура даних JSON, а потім обробляється додатком.

Синки:

JSON.parse()
jQuery.parseJSON()
$.parseJSON()

Маніпуляція веб-повідомленнями

З: https://portswigger.net/web-security/dom-based/web-message-manipulation

Вразливості веб-повідомлень виникають, коли скрипт надсилає дані, контрольовані атакуючими, як веб-повідомлення до іншого документа в межах браузера. Приклад вразливої маніпуляції веб-повідомленнями можна знайти в Web Security Academy PortSwigger.

Синьки:

Метод postMessage() для надсилання веб-повідомлень може призвести до вразливостей, якщо обробник подій для отримання повідомлень обробляє вхідні дані ненадійним способом.

Маніпуляція даними DOM

З: https://portswigger.net/web-security/dom-based/dom-data-manipulation

Вразливості маніпуляції даними DOM виникають, коли скрипт записує дані, контрольовані атакуючими, у поле в межах DOM, яке використовується в видимому інтерфейсі або логіці на стороні клієнта. Цю вразливість може експлуатувати атакуючий, щоб створити URL, який, якщо його відвідає інший користувач, може змінити вигляд або поведінку інтерфейсу на стороні клієнта.

Синьки:

scriptElement.src
scriptElement.text
scriptElement.textContent
scriptElement.innerText
someDOMElement.setAttribute()
someDOMElement.search
someDOMElement.text
someDOMElement.textContent
someDOMElement.innerText
someDOMElement.outerText
someDOMElement.value
someDOMElement.name
someDOMElement.target
someDOMElement.method
someDOMElement.type
someDOMElement.backgroundImage
someDOMElement.cssText
someDOMElement.codebase
document.title
document.implementation.createHTMLDocument()
history.pushState()
history.replaceState()

Відмова в обслуговуванні

From: https://portswigger.net/web-security/dom-based/denial-of-service

Уразливості відмови в обслуговуванні на основі DOM виникають, коли скрипт передає дані, контрольовані зловмисником, небезпечно до проблемного API платформи. Це включає API, які, коли їх викликають, можуть призвести до того, що комп'ютер користувача споживає надмірну кількість процесорного часу або дискового простору. Такі уразливості можуть мати значні побічні ефекти, такі як обмеження функціональності веб-сайту браузером шляхом відхилення спроб зберегти дані в localStorage або завершення зайнятих скриптів.

Sinks:

requestFileSystem()
RegExp()

Dom Clobbering

Dom Clobbering