Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 20:53:37 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/xss-cross-site-scripting/dom-xss.md
Translator workflow 35c6b081d2 Translated to Greek
2024-02-10 22:40:18 +00:00

31 KiB
Raw Blame History

DOM XSS

Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Ευπάθειες DOM

Οι ευπάθειες DOM συμβαίνουν όταν δεδομένα από ελεγχόμενες από τον επιτιθέμενο πηγές (όπως location.search, document.referrer ή document.cookie) μεταφέρονται μη ασφαλώς σε αποδέκτες. Οι αποδέκτες είναι συναρτήσεις ή αντικείμενα (π.χ. eval(), document.body.innerHTML) που μπορούν να εκτελέσουν ή να απεικονίσουν επιβλαβές περιεχόμενο εάν δοθούν κακόβουλα δεδομένα.

  • Οι πηγές είναι είσοδοι που μπορούν να χειραγωγηθούν από επιτιθέμενους, συμπεριλαμβανομένων των διευθύνσεων URL, των cookies και των μηνυμάτων ιστού.
  • Οι αποδέκτες είναι δυνητικά επικίνδυνα σημεία όπου κακόβουλα δεδομένα μπορούν να οδηγήσουν σε αρνητικές επιπτώσεις, όπως η εκτέλεση σεναρίων.

Ο κίνδυνος προκύπτει όταν τα δεδομένα ρέουν από μια πηγή σε έναν αποδέκτη χωρίς κατάλληλο έλεγχο ή απολύμανση, επιτρέποντας επιθέσεις όπως ο XSS.

{% hint style="info" %} Μπορείτε να βρείτε μια πιο ενημερωμένη λίστα πηγών και αποδεκτών στο https://github.com/wisec/domxsswiki/wiki {% endhint %}

Συνηθισμένες πηγές:

document.URL
document.documentURI
document.URLUnencoded
document.baseURI
location
document.cookie
document.referrer
window.name
history.pushState
history.replaceState
localStorage
sessionStorage
IndexedDB (mozIndexedDB, webkitIndexedDB, msIndexedDB)
Database

Συνηθισμένες Πηγές:

Ανακατεύθυνση Άνοιγμα Εισαγωγή Javascript Αλλοίωση δεδομένων DOM jQuery
location eval() scriptElement.src add()
location.host Function() constructor scriptElement.text after()
location.hostname setTimeout() scriptElement.textContent append()
location.href setInterval() scriptElement.innerText animate()
location.pathname setImmediate() someDOMElement.setAttribute() insertAfter()
location.search execCommand() someDOMElement.search insertBefore()
location.protocol execScript() someDOMElement.text before()
location.assign() msSetImmediate() someDOMElement.textContent html()
location.replace() range.createContextualFragment() someDOMElement.innerText prepend()
open() crypto.generateCRMFRequest() someDOMElement.outerText replaceAll()
domElem.srcdoc ``Αλλοίωση τοπικής διαδρομής αρχείου someDOMElement.value replaceWith()
XMLHttpRequest.open() FileReader.readAsArrayBuffer() someDOMElement.name wrap()
XMLHttpRequest.send() FileReader.readAsBinaryString() someDOMElement.target wrapInner()
jQuery.ajax() FileReader.readAsDataURL() someDOMElement.method wrapAll()
$.ajax() FileReader.readAsText() someDOMElement.type has()
``Αλλοίωση αιτήματος Ajax FileReader.readAsFile() someDOMElement.backgroundImage constructor()
XMLHttpRequest.setRequestHeader() FileReader.root.getFile() someDOMElement.cssText init()
XMLHttpRequest.open() FileReader.root.getFile() someDOMElement.codebase index()
XMLHttpRequest.send() Αλλοίωση συνδέσμου someDOMElement.innerHTML jQuery.parseHTML()
jQuery.globalEval() someDOMElement.href someDOMElement.outerHTML $.parseHTML()
$.globalEval() someDOMElement.src someDOMElement.insertAdjacentHTML Εισαγωγή JSON στην πλευρά του πελάτη
``Αλλοίωση αποθήκευσης HTML5 someDOMElement.action someDOMElement.onevent JSON.parse()
sessionStorage.setItem() Εισαγωγή XPath document.write() jQuery.parseJSON()
localStorage.setItem() document.evaluate() document.writeln() $.parseJSON()
**[**`Άρνηση Υπηρεσίας`**](dom-xss.md#denial-of-service)** someDOMElement.evaluate() document.title ``Αλλοίωση των Cookies
requestFileSystem() ``Αλλοίωση του τομέα του εγγράφου document.implementation.createHTMLDocument() document.cookie
RegExp() document.domain history.pushState() Δηλητηρίαση URL WebSocket
Εισαγωγή SQL στην πλευρά του πελάτη Αλλοίωση μηνυμάτων ιστού history.replaceState() WebSocket
executeSql() postMessage() `` ``

Η πηγή innerHTML δεν δέχεται στοιχεία script σε οποιοδήποτε σύγχρονο πρόγραμμα περιήγησης, ούτε θα εκτελεστούν γεγονότα svg onload. Αυτό σημαίνει ότι θα πρέπει να χρησιμοποιήσετε εναλλακτικά στοιχεία όπως img ή iframe.

Αυτός ο τύπος XSS είναι πιθανότατα ο πιο δύσκολος να βρεθεί, καθώς πρέπει να εξετάσετε τον κώδικα JS, να δείτε αν χρησιμοποιεί οποιοδήποτε αντικείμενο της οποίας την τιμή ελέγχετε, και σε αυτήν την περίπτωση, να δείτε αν υπάρχει οποιοδήποτε τρόπος κατάχρησης για να εκτελέσετε αυθαίρετο JS.

Εργαλεία για να τα βρείτε

Παραδείγματα

Ανακατεύθυνση Άνοιγμα

Από: https://portswigger.net/web-security/dom-based/open-redirection

Οι ευπάθειες ανακατεύθυνσης άνοιγματος στο DOM συμβαίνουν όταν ένα σενάριο γράφει δεδομένα, τα οποία ένας επιτιθέμενος μπορεί να ελέγξει, σε μια πηγή ικανή να προκαλέσει πλοήγηση σε διάφορους τομείς.

Είναι κρίσιμο να κατανοήσετε ότι η εκτέλεση αυθαίρετου κώδικα, όπως javascript:alert(1), είναι δυνατή εάν έχετε έλεγχο επί της αρχής του URL όπου συμβαίνει η ανακατεύθυνση.

Πηγές:

location
location.host
location.hostname
location.href
location.pathname
location.search
location.protocol
location.assign()
location.replace()
open()
domElem.srcdoc
XMLHttpRequest.open()
XMLHttpRequest.send()
jQuery.ajax()
$.ajax()

Αλλοίωση των cookies

Από: https://portswigger.net/web-security/dom-based/cookie-manipulation

Οι ευπάθειες αλλοίωσης των cookies που βασίζονται στο DOM συμβαίνουν όταν ένα script ενσωματώνει δεδομένα, τα οποία μπορούν να ελεγχθούν από έναν επιτιθέμενο, στην τιμή ενός cookie. Αυτή η ευπάθεια μπορεί να οδηγήσει σε απρόβλεπτη συμπεριφορά της ιστοσελίδας εάν το cookie χρησιμοποιείται εντός του ιστότοπου. Επιπλέον, μπορεί να εκμεταλλευτείται για να πραγματοποιήσει μια επίθεση σταθεροποίησης συνεδρίας εάν το cookie συμμετέχει στην παρακολούθηση των συνεδριών των χρηστών. Η κύρια αδυναμία που σχετίζεται με αυτήν την ευπάθεια είναι:

Αδυναμίες:

document.cookie

Εισαγωγή JavaScript

Από: https://portswigger.net/web-security/dom-based/javascript-injection

Οι ευπάθειες εισαγωγής JavaScript βασισμένες στο DOM δημιουργούνται όταν ένα σενάριο εκτελεί δεδομένα, τα οποία μπορούν να ελεγχθούν από έναν επιτιθέμενο, ως κώδικα JavaScript.

Απορροές:

eval()
Function() constructor
setTimeout()
setInterval()
setImmediate()
execCommand()
execScript()
msSetImmediate()
range.createContextualFragment()
crypto.generateCRMFRequest()

Αλλοίωση του document-domain

Από: https://portswigger.net/web-security/dom-based/document-domain-manipulation

Οι ευπάθειες αλλοίωσης του document.domain συμβαίνουν όταν ένα σενάριο (script) ορίζει την ιδιότητα document.domain χρησιμοποιώντας δεδομένα που ο επιτιθέμενος μπορεί να ελέγξει.

Η ιδιότητα document.domain παίζει έναν καθοριστικό ρόλο στην εφαρμογή της πολιτικής της ίδιας προέλευσης από τους περιηγητές. Όταν δύο σελίδες από διαφορετικές προελεύσεις ορίζουν το document.domain σε ίδια τιμή, μπορούν να αλληλεπιδρούν χωρίς περιορισμούς. Αν και οι περιηγητές επιβάλλουν ορισμένους περιορισμούς στις τιμές που μπορούν να ανατεθούν στο document.domain, αποτρέποντας την ανάθεση εντελώς ασυναφών τιμών στην πραγματική προέλευση της σελίδας, υπάρχουν εξαιρέσεις. Συνήθως, οι περιηγητές επιτρέπουν τη χρήση υποπεριοχών ή γονικών περιοχών.

Απορροές (Sinks):

document.domain

Δηλητηρίαση WebSocket-URL

Από: https://portswigger.net/web-security/dom-based/websocket-url-poisoning

Η δηλητηρίαση WebSocket-URL συμβαίνει όταν ένα σενάριο χρησιμοποιεί δεδομένα που μπορούν να ελεγχθούν ως τον στόχο URL για μια σύνδεση WebSocket.

Απορροές:

Ο κατασκευαστής WebSocket μπορεί να οδηγήσει σε ευπάθειες δηλητηρίασης WebSocket-URL.

Παραπλάνηση συνδέσμου

Από: https://portswigger.net/web-security/dom-based/link-manipulation

Οι ευπάθειες παραπλάνησης συνδέσμου βασισμένες στο DOM προκύπτουν όταν ένα σενάριο γράφει δεδομένα που μπορούν να ελεγχθούν από τον επιτιθέμενο σε έναν στόχο πλοήγησης εντός της τρέχουσας σελίδας, όπως ένας κλικαρισμένος σύνδεσμος ή ο URL υποβολής ενός φόρμας.

Απορροές:

someDOMElement.href
someDOMElement.src
someDOMElement.action

Παραμόρφωση αιτήσεων Ajax

Από: https://portswigger.net/web-security/dom-based/ajax-request-header-manipulation

Οι ευπάθειες παραμόρφωσης αιτήσεων Ajax προκύπτουν όταν ένα σενάριο γράφει δεδομένα που ελέγχονται από τον επιτιθέμενο σε μια αίτηση Ajax που εκδίδεται χρησιμοποιώντας ένα αντικείμενο XmlHttpRequest.

Απορροές:

XMLHttpRequest.setRequestHeader()
XMLHttpRequest.open()
XMLHttpRequest.send()
jQuery.globalEval()
$.globalEval()

Εκμετάλλευση της τοπικής διαδρομής αρχείου

Από: https://portswigger.net/web-security/dom-based/local-file-path-manipulation

Οι ευπάθειες στην εκμετάλλευση της τοπικής διαδρομής αρχείου προκύπτουν όταν ένα σενάριο περνά δεδομένα που ελέγχονται από τον επιτιθέμενο σε μια διεπαφή χειρισμού αρχείων ως παράμετρο filename. Αυτή η ευπάθεια μπορεί να εκμεταλλευτεί από έναν επιτιθέμενο για να δημιουργήσει ένα URL που, αν επισκεφθεί από έναν άλλο χρήστη, μπορεί να οδηγήσει στο άνοιγμα ή την εγγραφή ενός αυθαίρετου τοπικού αρχείου στον περιηγητή του χρήστη.

Απορροές:

FileReader.readAsArrayBuffer()
FileReader.readAsBinaryString()
FileReader.readAsDataURL()
FileReader.readAsText()
FileReader.readAsFile()
FileReader.root.getFile()
FileReader.root.getFile()

Ενσωμάτωση SQL επί της πλευράς του πελάτη

Από: https://portswigger.net/web-security/dom-based/client-side-sql-injection

Οι ευπάθειες της ενσωμάτωσης SQL επί της πλευράς του πελάτη συμβαίνουν όταν ένα σενάριο ενσωματώνει δεδομένα που ελέγχονται από τον επιτιθέμενο σε μια ερώτηση SQL επί της πλευράς του πελάτη με ανασφάλεια.

Απορροές:

executeSql()

Αλλοίωση HTML5 αποθήκευσης

Από: https://portswigger.net/web-security/dom-based/html5-storage-manipulation

Οι ευπάθειες αλλοίωσης της HTML5 αποθήκευσης προκύπτουν όταν ένα σενάριο αποθηκεύει δεδομένα που μπορούν να ελεγχθούν από τον επιτιθέμενο στην HTML5 αποθήκευση του προγράμματος περιήγησης του δικτυακού τόπου (localStorage ή sessionStorage). Αν και αυτή η ενέργεια δεν είναι κατ' αρχήν μια ευπάθεια ασφαλείας, γίνεται προβληματική εάν η εφαρμογή στη συνέχεια διαβάζει τα αποθηκευμένα δεδομένα και τα επεξεργάζεται με ανεπαρκή ασφάλεια. Αυτό μπορεί να επιτρέψει σε έναν επιτιθέμενο να εκμεταλλευτεί τον μηχανισμό αποθήκευσης για να πραγματοποιήσει άλλες επιθέσεις βασισμένες στο DOM, όπως cross-site scripting και εισαγωγή JavaScript.

Απορροές:

sessionStorage.setItem()
localStorage.setItem()

Εισαγωγή XPath

Από: https://portswigger.net/web-security/dom-based/client-side-xpath-injection

Οι ευπάθειες DOM-based XPath-injection συμβαίνουν όταν ένα σενάριο ενσωματώνει δεδομένα που ελέγχονται από τον επιτιθέμενο σε μια ερώτηση XPath.

Απορροές:

document.evaluate()
someDOMElement.evaluate()

Ενσωμάτωση JSON στην πλευρά του πελάτη

Από: https://portswigger.net/web-security/dom-based/client-side-json-injection

Οι ευπάθειες της ενσωμάτωσης JSON στην πλευρά του DOM συμβαίνουν όταν ένα σενάριο ενσωματώνει δεδομένα που ελέγχονται από τον επιτιθέμενο σε μια συμβολοσειρά που αναλύεται ως δομή δεδομένων JSON και στη συνέχεια επεξεργάζεται από την εφαρμογή.

Απορροές:

JSON.parse()
jQuery.parseJSON()
$.parseJSON()

Παραμόρφωση μηνυμάτων ιστού

Από: https://portswigger.net/web-security/dom-based/web-message-manipulation

Οι ευπάθειες στα μηνύματα ιστού προκύπτουν όταν ένα σενάριο στέλνει δεδομένα που μπορούν να ελεγχθούν από τον επιτιθέμενο ως μήνυμα ιστού σε ένα άλλο έγγραφο εντός του προγράμματος περιήγησης. Ένα παράδειγμα ευπάθειας στην παραμόρφωση μηνυμάτων ιστού μπορεί να βρεθεί στην Ακαδημία Ασφάλειας Ιστού της PortSwigger.

Απορροές:

Η μέθοδος postMessage() για την αποστολή μηνυμάτων ιστού μπορεί να οδηγήσει σε ευπάθειες εάν ο ακροατής γεγονότων για τη λήψη μηνυμάτων χειρίζεται τα εισερχόμενα δεδομένα με ανασφάλεια.

Παραμόρφωση δεδομένων DOM

Από: https://portswigger.net/web-security/dom-based/dom-data-manipulation

Οι ευπάθειες στην παραμόρφωση δεδομένων DOM προκύπτουν όταν ένα σενάριο εγγράφει δεδομένα που μπορούν να ελεγχθούν από τον επιτιθέμενο σε ένα πεδίο εντός του DOM που χρησιμοποιείται στο ορατό UI ή στην πελατική λογική. Αυτή η ευπάθεια μπορεί να εκμεταλλευτεί από έναν επιτιθέμενο για να δημιουργήσει ένα URL που, εάν επισκεφθεί από έναν άλλο χρήστη, μπορεί να αλλάξει την εμφάνιση ή τη συμπεριφορά του πελατικού UI.

Απορροές:

scriptElement.src
scriptElement.text
scriptElement.textContent
scriptElement.innerText
someDOMElement.setAttribute()
someDOMElement.search
someDOMElement.text
someDOMElement.textContent
someDOMElement.innerText
someDOMElement.outerText
someDOMElement.value
someDOMElement.name
someDOMElement.target
someDOMElement.method
someDOMElement.type
someDOMElement.backgroundImage
someDOMElement.cssText
someDOMElement.codebase
document.title
document.implementation.createHTMLDocument()
history.pushState()
history.replaceState()

Απορρίπτοντας την Υπηρεσία

Από: https://portswigger.net/web-security/dom-based/denial-of-service

Οι ευπάθειες απόρριψης υπηρεσίας βασισμένες στο DOM συμβαίνουν όταν ένα σενάριο περνάει δεδομένα που ελέγχονται από τον επιτιθέμενο με ανασφάλεια σε μια προβληματική πλατφόρμα API. Αυτό περιλαμβάνει API που, όταν κληθούν, μπορούν να οδηγήσουν τον υπολογιστή του χρήστη να καταναλώσει υπερβολικές ποσότητες CPU ή χώρου δίσκου. Τέτοιες ευπάθειες μπορούν να έχουν σημαντικές παρενέργειες, όπως ο περιορισμός της λειτουργικότητας του ιστότοπου από τον περιηγητή με την απόρριψη προσπαθειών αποθήκευσης δεδομένων στο localStorage ή την τερματισμό απασχολημένων σεναρίων.

Απορροφητές:

requestFileSystem()
RegExp()

Dom Clobbering

{% content-ref url="dom-clobbering.md" %} dom-clobbering.md {% endcontent-ref %}

Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!