https://dzen.ru/b/ZZ08RsNbaSNOES10

В копилку интересных вопросов для собеса

#interview

Вкратце знакомимся с DOM Clobbering.

Шаг 1
Из учебника JS узнаем, что:

При чтении HTML браузер генерирует DOM-модель. При этом большинство стандартных HTML-атрибутов становятся свойствами соответствующих объектов.

Например, если тег выглядит как <body id="page">, то у объекта будет свойство body.id = "page".

Глобальный объект предоставляет переменные и функции, доступные в любом месте программы. В браузере это window, а его свойства называются глобальные переменные.

Шаг 2
Из книги JavaScript for Hackers узнаем непосредственно про сам DOM Clobbering: «Затирание (clobbering) DOM это метод, пользующийся преимуществом шаблона кодирования, который проверяет глобальную переменную и когда она не существует, следует иным путём кода.»

Основная идея состоит в том, что вы затираете несуществующую глобальную переменную неким элементом DOM, чаще всего элементом привязки (ancor).

Представьте что у вас имеется следующий код:

let url = window.currentUrl || 'http:///example.com';

Данный образец кода на первый взгляд выглядит безобидным, но в действительности window.currentUrl управляется не только через глобальную переменную , но также и через элемент DOM.

Для большего понимания в терминологии данной книги «элементы привязки (ancor)» определены здесь: HTMLAnchorElement

Элементы привязки позволяют вам применять атрибут "href" для изменения имеющегося значения затираемого объекта:

<a href="clobbered:1337" id=x></a>
<noscript> 
 alert(x);//clobbered:1337 
 alert(typeof x);//object 
</noscript>

Т.е. глобальная переменная x затирается с помощью элемента привязки id, а значение переменной задается элементом привязки href.

Шаг 3
Далее, знакомимся с DOM-коллекциями: «Особый перебираемый объект-псевдомассив»

В контексте атаки можно использовать несколько элементов с одним и тем же id или name и это создаёт коллекцию

<a id=x>
<a id=x name=y href=clobbered:1337>
<noscript>
 alert(x.y)//clobbered:1337 
</noscript>

В приводимом выше примере имеются две совместно используемых привязки атрибута id с одним и тем же значением "x", это формирует DOM-коллекцию, кроме того, вторая привязка обладает атрибутом name, а поскольку это коллекция DOM, вы можете ссылаться на элементы в такой коллекции по имени или индексу, в данном случае мы ссылаемся на вторую привязку по имени "y".

Шаг 4
Этих знаний должно быть достаточно для решения лабораторной работы в PortSwigger Academy, а так же ответа на вопрос из предыдущей подборки


DOM Clobbering Cheatsheet
#js

1/2

Что можно предложить разрабам вместо .innerHTML, чтобы избежать DOM XSS (без использования фреймворков)?

Исходный код:

<body>
    <div id="output"></div>
    <noscript src="test1.js"></noscript>
</body>

const userInput = '<img src=x onerror=alert(1)>';
const element = document.getElementById('output');
element.innerHTML = userInput;

Тут сразу стоит сказать, что payload вида <noscript>alert(1)</noscript> не отработает, т.к. браузер парсит (анализирует) строку HTML и создаёт соответствующие DOM-элементы, но браузер только создаёт элемент в DOM, но не выполняет код внутри него. Связано это со спецификацией браузеров.

🔘 1. Вставлять пользовательский ввод как текст

element.innerText = userInput;
element.textContent = userInput;
element.insertAdjacentText('beforeend', userInput);

В этом случае в теге <div> весь HTML код будет отображаться как текст. Не подходит для случаев, когда .innerHTML используется для вставки HTML-кода (например, для добавления новых элементов на сайт, которые зависят от пользовательского ввода)


🔘 2. Использовать CSP.

<!DOCTYPE html>
<html lang="ru">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="Content-Security-Policy" content="default-src 'self'; noscript-src 'self';">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <noscript>Document</noscript>
</head>
<body>
    <div id="output"></div>
    <noscript src="test1.js"></noscript>
</body>
</html>

В данном примере директивы CSP объявляются через тег <meta> для удобства, но хорошей практикой считается выставление директив через HTTP заголовок, поскольку тег не контролирует контент до объявления тега + отсутствие поддержки некоторых директив посредством объявления через тег

CSP по умолчанию запрещает выполнение inline-скриптов, включая обработчики событий, таких как onerror, если не разрешено явно через 'unsafe-inline', хэши или nonces.

Получается, что тег <noscript> не вставить из-за спецификации браузера, а вставить onerror (да и любой другой обработчик событий) в любой другой тег не получится из-за CSP.
Такую защиту можно обойти, если в CSP будет указана директива ’unsafe-inline’ для скриптов. Возможно, есть еще байпас такого решения, но сходу не нашел

2/2

Две новые технологии, с которыми я знакомлюсь:

🔘 3. Использовать Trusted Types API (TTA)

Основная идея и ее использование хорошо описано в данном видео.

Если вкратце, то браузер позволит вставить в DOM только «доверенные типы» данных. Чтобы использовать данную технологию, добавляем политику CSP с директивой require-trusted-types-for (использование TTA не совместимо с использованием классического CSP).

Пример:

<meta http-equiv="Content-Security-Policy" content="require-trusted-types-for 'noscript';">

Здесь мы говорим, что хотим применять политику TTA в скриптах. Теперь объявим «доверенный тип» my-types в политике CSP:

<meta http-equiv="Content-Security-Policy" content="trusted-types my-types; require-trusted-types-for 'noscript';">

Опишем его:

const escapeHTMLPolicy = window.trustedTypes.createPolicy('my-types', {
    createHTML: string => string.replace(/\</g, '&lt;'),
})

Хук createHTML вызывается, когда код пытается произвести изменения в DOM, вставить какую-либо строку, и он эту строку должен обработать. Его обработкой (санитизацией) занимается сам разработчик. В данном примере идет замена в строке символа на закодированный. Здесь так же можно использовать сторонние библиотеки, например DOMPurify:

const escapeHTMLPolicy = trustedTypes.createPolicy('my-types', {
  createHTML: (input) => {
    // Очистка или проверка входных данных
    return DOMPurify.sanitize(input);
  },
});

Существует всего три хука: createHTML, createScript, createScriptURL


Данная технология отработает в Google Chrome, выдав ошибку

This document requires 'TrustedHTML' assignment.

Uncaught TypeError: Failed to set the 'innerHTML' property on 'Element': This document requires 'TrustedHTML' assignment.

Но в Firefox ситуация обратная, alert(1) выполнился, а браузер указал, что не знает такой директивы:

Content-Security-Policy: Не удалось обработать неизвестную директиву «require-trusted-types-for»

В этом минус данной технологии, ее не поддерживают все браузеры: https://developer.mozilla.org/en-US/docs/Web/API/Trusted_Types_API


🔘 4. Sanitizer API.
Из того же видео узнаем, что в современных браузерах есть встроенное API для санитизации. В видео два примера, один с явным созданием объекта Sanitizer:

let sanitizer = new Sanitizer();
let b = sanitizer.sanitizeFor("div", userInput);
console.log(b)

Второй — более простой, просто с использованием метода .setHTML() вместо .innerHTML.

const userInput = '<img src=x onerror=alert(1)>';
const element = document.getElementById('output');
element.setHTML(userInput);

В Google Chrome в свежих версиях включен по умолчанию, в Firefox в тестовом режиме, поэтому выключен. Можно включить в настройках (`about:config`): dom.security.sanitizer.enabled

Почитать можно здесь: https://web.dev/articles/sanitizer

Недавно установил себе агрегатор новостей. Довольно удобно, все в одном месте, можно собрать сборник про политику, можно на другие темы. Так же есть возможность добавить YouTube каналы. Мб можно еще телеграмм каналы, но пока не разобрался.
Вот список, который у меня собрался на данный момент.

Прикольный intro в Mobile Security

https://www.youtube.com/watch?v=8377woNhpzI

Intro в client-side уязвимости. Будет полезно знать чуть больше, чем 3 вида XSS и CSRF.

https://wr3dmast3r.gitbook.io/client-side-fundamental

Еще один ИБ-шный roadmap, в этот раз по специальностям на русском языке с материалами.
Так же в ней выделены перспективные специальности на горизонте 3-5 лет. В основном связано с *SecOps направлениями, ML и крипта.

https://cybersecurity-roadmap.ru

Если говорить про санитизацию с использованием объектных моделей, то в контексте запросов к СУБД в голову сразу приходит ORM (Object-Relational Mapping).

Для других подсистем объектная модель обычно реализуется через шаблон проектирования Builder (например java.lang.ProcessBuilder для контекста запросов к ОС). Но что такое этот ваш билдер?

Для лучшего понимания паттернов в особенности билдеров может подойти ресурс https://refactoring.guru/design-patterns/creational-patterns

Host-Only Cookie

Вы когда-нибудь задумывались, как изменится поведение браузера относительно Cookie при указании дополнительного атрибута domain?

Set-Cookie: session=...; SameSite=Strict;
Set-Cookie: session=...; SameSite=Strict; domain=example.com

В контексте SameSite Cookie, "site" определяется как домен верхнего уровня (TLD), обычно что-то вроде .com или .net, плюс один дополнительный уровень доменного имени (эта часть обозначается как TLD+1), а также учитывается схема URL-адресов: http://{...}.example.com. Несмотря на это, Cookie без явного указания домена сервером не будут подставляться для поддоменов. Такие Cookie привязаны исключительно к точному домену и называются host-only.

Однако, если явно указать атрибут domain, то политика браузера подразумевает использования Cookie для всех поддоменов относительно указанного домена. Т.е. Cookie session с указанным атрибутом domain=example.com для браузера тоже самое, что domain=.example.com (он так и будет помечать область действия Cookie).
Явное указание домена Cookie сервером расширяют область, где они отправляются, вплоть до уязвимых поддоменов.

Firefox, например, явно добавляет данный атрибут всем Cookie, у кого был указан домен (в общем списке будет начинаться с точки), но только, если выбрать Cookie для просмотра.

Как известно Site в контексте браузера это схема и TLD+1 (см. подробнее здесь). Представим, что мы зарегистрированы на ресурсе tsu.edu.ru, и браузер хранит Cookie для данного хоста. Как поведет себя браузер, если мы посетим ресурс tusur.edu.ru? Отправит ли он Cookie одного ресурса на другой, если выполняется условие TLD+1?

"Public Suffix List" – список доменных окончаний (например, .com, .co.uk), под которыми конечные пользователи могут напрямую регистрировать свои доменные имена. Так же этот список еще называют eTLD (effective top-level domain).

В прошлом браузеры использовали алгоритм, который запрещал установку wide-ranging Cookie (или Super Cookie) только для доменов верхнего уровня (TLD) без точек (например, com или org). Однако это не работало для доменов верхнего уровня, в которых разрешена регистрация только третьего уровня (например, co.uk). В таких случаях сайты могли установить Cookie для домена .co.uk, который передавался каждому сайту, зарегистрированному в домене co.uk.

Чтобы предотвратить подобные проблемы, браузеры используют Public Suffix List. Этот список помогает ограничить установку Cookie на такие общие домены, тем самым предотвращая установку «Super Cookie». А определение Site в контексте браузера корректнее интерпретировать как URL схема и eTLD+1.

Подробнее: https://publicsuffix.org/learn/same-site

На meetup’е от koronatech узнал про интересную особенностью Postman — хранение данных, которые через него проходят, на серверах Postman’а в США. Отказ от подобного сбора данных ведет к «окерпичиванию» продукта. Особый интерес к этой особенности стоит обратить внимание компаниям, чьи разрабы/тестировщики активно используют Postman для работы с API.
В качестве альтернативы предложили рассмотреть https://hoppscotch.io/.

AppSec’и koronatech так же приложили руку к развитию данного продукта, закрывая свои потребности и проблемы при его использовании, отправляя MR’ы разработчикам hoppscotch.

Обновления.

В semgrep выше версии 1.100.0 решили убрать snippet’ы (участки исходного кода) в поле lines из отчетов для незалогиненных пользователей. В таком случае будет возвращаться «requires login»

"fingerprint": "requires login",
"lines": "requires login",

Для этого нужно зарегаться на их площадке Semgrep AppSec Platform, создать токен доступа и прикрепить его себе в переменную окружения SEMGREP_APP_TOKEN.

Однако такой запрет обходится созданием переменной окружения SEMGREP_APP_TOKEN с произвольным значением и даже без доступа в интернет🌚.

Например, такого Dockerfile будет вполне достаточно

FROM semgrep/semgrep
WORKDIR /opt
COPY . /opt/
ENV SEMGREP_APP_TOKEN="qqq"

CMD ["semgrep", "scan", "--metrics=off", "--config=/opt/rules", "--json", "/src", "--output", "/out/semgrep.json"]

Сканер вернет нам отчет с snippet’ами, как и положено

JWT blacklist bypass

Как вы все знаете, JWT самодостаточен. Именно это делает его таким удобным, но некоторые обычные вещи становятся невозможными, например завершение сессии пользователя.

Если пойти в Google с вопросом об отзыве JWT, вы наткнётесь на кучу обсуждений и предложений. Обычно подход заключается в занесении его в blacklist, который хранится, например, в Redis. В интернете много рекомендаций вроде: когда нужно отозвать токен, сохраняешь его (или его хэш) в Redis, а когда запрос с токеном прилетает на сервер — проверяешь, нет ли его там.

Во время пентеста я заметил интересную аномалию, природа которой описана в этой статье: Decoding the JWT anomaly. Если последний символ в подписи JWT заменить на смежный в алфавите, то сигнатура остаётся валидной, и сервер не замечает разницы.

Пример:

eyJhbGciOiJIUzI1NiJ9.eyIxIjoxfQ.OUTJgV9NjeWLUPzLk0QzICm280pH00Zf54IpR5C4IFs

eyJhbGciOiJIUzI1NiJ9.eyIxIjoxfQ.OUTJgV9NjeWLUPzLk0QzICm280pH00Zf54IpR5C4IFt

Заменив в конце токена букву s на t, получаем валидный токен. Можете проверить сигнатуру на jwt.io (ключ — “key”).

Отсюда появилась теория: если сервер ведёт blacklist JWT, сохраняя в него сам токен или его хэш, то, заменив последний символ, подпись останется валидной, но этого токена (или его хэша) не будет в blacklist.

Теорию я проверил на bug bounty, и уже во второй программе смог «возрождать» отозванные токены.

Если при разработке сервиса всё-таки необходимо отзывать JWT, то заносите в blacklist jti или другие уникальные идентификаторы токена.

Сегодня решил покапать Bug Bounty и снова столкнулся с тестированием bitrix и словил пару флешбеков.
На тему безопасности bitrix был уже не один доклад.
Если вкратце, то вот хороший материал №1 и хороший материал №2 на эту тему.

Есть даже сканер, который позволяет автоматизированно проводить типовые проверки потенциальных sink’ов. За основу взят, наверное, самый популярный доклад по уязвимостям битрикс.

Так же обнаружил еще один способ обхода ограничений на /bitrix/admin (помимо тех, что были в докладах):

/bitrix/components/bitrix/desktop/admin_settings.php?lang=ru&bxpublic=Y

В моем случае загружает страницу входа, но без стилей и popup’ов. Это не мешает воспользоваться функционал данной страницы.

Так же вот доп ресурсы, которые я бы добавил:
- Worldlist ручек битрикса.
- Слитый код демо версии bitirx. Можно подглядывать при blackbox тестировании + еще (да, здесь был открытый код core части команды битрикса)
- Документация для разработчиков
- Официально опубликованные найденные уязвимости bitrix, некоторые содержат PoC
- Сплойты для CVE, есть и для bitrix

Случайно наткнулся на интересный ресурс — Сделай свой X.

Это GitHub репозиторий, в котором собраны практики по низкоуровневому программированию. Из примеров: Сделай свой
- блокчейн
- браузер
- эмулятор
- ОС

Будет не лишним для обучения или портфолио

Я решил, что в рунете мало статей по SOP и CORS, поэтому решил добавить еще одну, попутно расписав другие cross-origin политики безопасности браузера.

Можно приписывать теперь плашку BugBounty?