研究员Gareth Heyes在OWASP的旗舰欧式活动中执行一些横向网站脚本诡计

跨站脚本(XSS)是一支常年的祸害beplay体育能用吗Web应用程序安全性,利用这种品种的漏洞,让用户开放到网络钓鱼攻击,帐户劫持,更糟糕。

据A.2017年软件报告从Veracode,XSS可能会在40%的Web应用程序中找到 - 这类安全缺陷仍然是由于列表的成立以来beplay体育能用吗OWASP前10个Web安全威胁的夹具。

虽然提出了缓解,但研究人员继续展示这些保护如何容易被破坏。

实际上,由于它们允许解析将弱势网站或应用程序打开到XSS攻击的内容类别,因此不会浏览器免于剥削。beplay体育能用吗

谈到全球Appsec 2019.在Amsterdam昨天,Portswigge beplay官网可以赌Wbeplay体育能用吗eb Security的Gareth Heyes呈现出一种批量的技巧,可用于创造性地利用XSS缺陷,其中许多突出了Web应用程序安全生态系统中的不一致。

pwning过滤器

一个特定的热点,用于将恶意JavaScript注入应用程序是通过跨站点脚本过滤器 - 应用程序或浏览器中使用的代码,以防止潜在的XSS问题。

“黑客滤波器有点像[播放]与过滤器的思想技巧,”Heyes说。“你试图说服你的输入是安全的,在实际情况下,它被转换为恶意的东西。”

为了欺骗滤镜接受包含恶意代码的输入,Heyes转向使用消费标签,例如标题题目, 和noframes.

“消费标签将消耗图像,属性,直到它找到结束标签,”Heyes解释说。

“想想它就像一个吃HTML的怪物。”

noframes和财富

Heyes表示,XSS过滤器将假设消费标签中的所有内容都很好。这提供了一个机会窗口,用于注入过滤器认为是安全的恶意代码。

他给了一个例子noframes.标签。

“所有浏览器都将忽略标记noframes.标签因为它们支持框架,“Heyes解释说。

“如果我们注入图像标签,并结束noframes.标记,然后此图像标记未被浏览器呈现。

“在 - 的里面alt.属性您可以注入一个noframes.标签和突然,你突然脱离了alt.属性并可以执行警报(1)

“那成为一个脚本,这是一种愚弄过滤器进入恶意代码的方法。”

浏览器开发人员使用XSS过滤器已脱离时尚。

今年7月,谷歌使搬迁贬值XSS审计员对于Chrome - 一种用于各种旁路漏洞的安全功能。

XSS审核员的弃用遵循在Microsoft Edge中删除XSS保护一年前。

“我们将无法滥用XSS审计员行为,但将始终存在其他基于非浏览器的过滤器来攻击,”Heyes说。

通过传递CSP.

研究人员也可以规避内容安全策略(CSP),浏览器用于阻止外部资源并防止XSS攻击的技术。

“这有点像HTML的防火墙,”Heyes解释说。

“想象一下,我们有一个CSP策略与这些指令,以及它基本上说的是您无法在任何标签上加载任何资源。”

通过使用目标属性注入基本标记,攻击者可以为页面上的每个链接更改窗口名称,然后将标记注入窗口名称。

“它设置了目标对于页面上的每个链接,“Heyes说。“所有标记都会填充window.name.因为浏览器将允许您放置在那里的任何东西。“


推荐的OWASP揭示了API生态系统面临的十大安全威胁


Heyes表示,所有浏览器都易于这种问题。研究人员能够提出缓解 - 添加基本标签target_self.- 他后来绕过了,部分原因是由于与使用相关的持续问题window.name.在浏览器中。

“浏览器不愿意锁定window.name.因为某些网站使用行为来发送数据交叉域,“Heyes说。

“并且因为一些网站使用window.name.为了合法使用,浏览器很难修补它而不破坏网络。“beplay体育能用吗

泄漏现在很热

随着Wbeplay体育能用吗eb应用程序开发人员更加了解XSS缺陷,侧通道攻击也出现为绕过某些安全控制的手段 - 一个适当呼叫的一系列技术XS泄漏'。

“这是一种从外部站点获得一些无法打破的信息的方式同性,“Heyes解释道。

“但是在某种程度上让您访问您不应该访问的一些信息。”


有关的新的XS泄漏技术揭示了公开用户信息的新方法


“如果任何隐私敏感的东西被放置在一个IDIFRames,输入,TextareAs,音频或视频中的属性,可能会在提供网站框架的情况下蛮力,“他说。

通过加载目标域,Heyes能够修改哈希以确定值的值ID从不同域内的站点的输入元素上的属性。这作品,heyes解释说,因为哈希没有发送到服务器。

“例如,让我们说我们想发现什么ID以下输入元素使用不同域的站点使用<输入ID = 1337>,“Heyes说。

“我们可以加载包含元素的URL,当时负载事件火灾我们可以改变哈希值,如果是蓝色我们发现了正确的火灾ID。如果不是[我们]递增价值并再次检查。“

符合他的演示文稿,Heyes发表了一个XSS作战书为了使JavaScript开发人员和Web安全研究人员更容易过滤并找到新鲜的XSS向量。beplay体育能用吗


你可能还喜欢一个侦查器调用:新工具在浏览器对象中公开隐藏的漏洞