研究人员更深入地研究了在流行的Wysiwyg HTML文本编辑中发现缺陷的技术
一名安全研究人员已经深入研究了用特殊的HTML标签绕过词汇解析器,该标签利用HTML解析逻辑来最终执行任意JavaScript代码。
福克斯主教的安全顾问克里斯·戴维斯(Chris Davis)先前已经部署了黑客技术来发掘高风险跨站脚本(XSS)两个流行的漏洞,您可以看到的 - 您可以看到的(wysiwyg)html文本编辑器。
Tinymce中的缺陷(公开在2020年8月)和弗罗拉(Froala)(公开本月初)影响了一个总和700,000个beplay体育能用吗网站结合了申请。
什么是词汇解析?
“词汇解析是一种非常复杂的方式防止XSS因为它在执行其他逻辑之前(例如阻止或编码数据)在执行其他逻辑之前评估了数据是指令还是明文。”戴维斯在他的技术文章。
他继续说,它将“用户数据(即非危险的文本内容)与计算机说明(即JavaScript和某些危险的HTML标签)分开。“在允许用户按设计子集的子集的情况下,这种类型的解析可用于确定允许的内容以及将阻止或消毒的内容。”
除Wysiwyg HTML编辑器外,词汇消毒解析器被广泛用于保护富文本编辑器,电子邮件客户端和消毒库,例如XSS攻击中的Dompurify。
但是,戴维斯(Davis)展示了如何将词汇解析器诱骗到“作为文本数据而不是计算机说明”中查看危险内容。
这是可能的,因为“ HTML并非被设计为两次解析;初始HTML解析器与消毒解析器之间可能发生细微变化。消毒解析器通常实施自己的处理逻辑”。
上下文状态和名称空间混乱
关键研究是上下文状态:HTML解析器在令牌化过程中对HTML元素进行分类的数据状态类别。戴维斯说:“不同的提供的元素改变了这些元素中的数据如何通过切换数据的上下文状态解析和渲染。”
研究人员的“ Lexss”技术还利用了命名空间混乱,这是MichałBentkowski'sInsper Inserge的研究领域Dompurify旁路在2020年。“ HTML解析器会在遇到MATHML或SVG元素时将其上下文切换到单独的名称空间,这些元素可用于混淆解析器。”戴维斯说。
概念化XSS风险
潜在的影响XSS攻击随上下文而变化。
克里斯·戴维斯(Chris Davis)告诉每日swbeplay2018官网ig。在最严重的情况下,可以利用XSS“进行资金转让,执行金融证券交易或剥离最高机密数据之类的事情”。
“概念化XSS风险的一种方法是考虑到任何网站时,攻击者控制您的行动,该怎么办?beplay体育能用吗由于XSS允许站点的原点内的控制水平,因此用户通常不知道。”
预防
至于预防性步骤,“实施允许通过设计的用户控制的HTML的应用程序”时,开发人员应“处理HTML尽可能接近原始分析”,解释说。
“对于那些没有创建此类解决方案而是将它们包括在其应用程序中的组织,良好的补丁政策将在防止开发方面有很长的路要走。beplay维护得多久”
组织还应“考虑实施内容安全策略((CSP)进入应用程序“以“在浏览器定义的级别上阻止JavaScript注入”。
未来的研究
戴维斯告诉他为什么追求这一研究途径时每日swbeplay2018官网ig:“基于上下文状态解析分析如此普遍,但相对揭示。
“因此,更好地了解HTML通常如何解析HTML,以及如何富有文本样式的编辑或消毒库,然后解析该数据以及我们如何利用知识对我来说是令人着迷的。”
他补充说,他期望在“一些真正有影响力的目标”(例如电子邮件客户)中浮出水面的类似缺陷,并且进一步挖掘HTML解析也可能是富有成果的。
他总结说:“我真的希望这项工作有助于其他研究人员将其提升到一个新的水平。”
