tấn công XSS và phong cách thuộc tính

Question

Có được biết đến thuộc tính style tấn công XSS như:

<DIV STYLE="width: expression(alert('XSS'));"> 

Hoặc

<DIV STYLE="background-image: url(javascript:alert('XSS'))"> 

Tất cả các ví dụ I've seen sử dụng hoặc biểu hiện hoặc chức năng url - về cơ bản một cái gì đó chức năng như vậy đòi hỏi " ("và") ".

Tôi đang nghĩ đến việc phương pháp thẻ phong cách lọc sau đây, tôi sẽ kiểm tra chúng bằng sau (ước tính) ngữ pháp:

identifier: [a-zA-Z_][a-zA-Z0-9\-]* 
number: [0-9]+ 
string: '[a-zA-Z_0-9 ]*' 
value : identifier | number | string | number + "(em|px)" | number +"%" 
entry: identifier ":" value (\s value)* 
style: (entry ;)* 

Vì vậy, về cơ bản tôi cho phép tính ASCII với các giá trị số hoặc giá trị chuỗi rất hạn chế (về cơ bản cho tên phông chữ) không cho phép sử dụng bất kỳ thứ gì trông giống như cuộc gọi.

Câu hỏi này đủ hay chưa? Có bất kỳ cuộc tấn công nào có thể làm điều gì đó như vậy không:

<DIV STYLE="this-is-js-property: alert 'XSS';"> 

Và thành công?

Ai có thể nghĩ đến lỗ hổng XSS của thử nghiệm như vậy không?

Để Làm cho nó rõ ràng

tôi cần các thuộc tính kiểu như nhiều công cụ như TinyMCE sử dụng chúng và lọc vô hại phong cách thuộc tính tắt sẽ làm tổn thương đáng kể các chức năng.

Vì vậy, tôi thích vượt qua các trường hợp phổ biến xóa tất cả những thứ có thể sử dụng @import, url, biểu thức v.v. Và cũng đảm bảo rằng cú pháp css cơ bản là ok.

trả lời

Không nó không phải là an toàn do nhấp Jacking dễ bị tổn thương.

Answer 1

Tính năng này không hoạt động do lỗ bấm dễ bị tổn thương.

Ví dụ:

<a href="http://example.com/attack.html" style="display: block; z-index: 100000; opacity: 0.5; position: fixed; top: 0px; left: 0; width: 1000000px; height: 100000px; background-color: red;"> </a> 

Tìm thấy tại: http://www.bioinformatics.org/phplabware/forum/viewtopic.php?id=164

Mã này sẽ được xác nhận một cách hoàn hảo nhưng nó có thể gây thiệt hại nghiêm trọng.

Quy tắc chung sử dụng danh sách trắng rất nghiêm ngặt hoặc không cho phép thuộc tính kiểu.

Answer 2

Có một nền tảng mở có tên là OWASP giúp bạn thực hiện điều này.

Để trả lời câu hỏi của bạn Are there any attacks....; Vâng!

Có rất nhiều tài liệu ở đó và có các thư viện bạn có thể sử dụng để thoát đúng tất cả mã XSS.

Đọc số XSS prevention sheet.

Answer 3

Quy tắc bảo mật # 1: Nếu bạn ít nghi ngờ nhất, hãy giả sử có lỗ.

Bạn đang cố gắng đạt được điều gì? Chức năng nào sẽ khiến CSS từ một nguồn không đáng tin cậy?

Answer 4

Có, bạn có thể sử dụng các cuộc tấn công XSS với thuộc tính Kiểu.

Những phong cách được tiêm như chúng ta không có họ khai báo trong thẻ của chúng tôi trong một trang jsp đặc biệt nhưng khi đột phá vòng vây kiểm toán bởi nhóm bảo mật của chúng tôi:

<img src="<path here>" style=x:ex/**/pression 
(alert(54163)) ".gif" 

Tôi đang nghĩ đến việc sử dụng một bộ lọc HTTP để dừng lại ở đây, nhưng tôi vẫn nhìn vào nó.

Chúng tôi cũng không có lĩnh vực đầu vào ẩn của chúng tôi proteccted hoặc và điều này đột phá vòng vây cũng như:

<input type="hidden" name="<variable name here>" value="<value here>" style=x:ex/**/pression(alert 
(54163)) ""> 

Với một công cụ như Burpsuite, bạn có thể thay đổi yêu cầu một cách nhanh chóng để tiêm XSS vào thẻ như thế này . Tuy nhiên, với API ESAPI từ OWASP, bạn có thể thêm bảo vệ. Chúng tôi đã không sử dụng thẻ JSTL vì đó là mã cũ, vì vậy đó là giải pháp ngắn hạn tốt nhất.

Đối với thông tin nhập ẩn tôi đã sử dụng;

<input type="hidden" name="id" value="<%=ESAPI.encoder().encodeForHTMLAttribute(id)%>" 

Bạn cũng có thể sử dụng XSS with the js onload event in an img tag: