XSS हमलों और शैली की तरह जिम्मेदार बताते हैं

Question

वहाँ जाना जाता है शैली विशेषता XSS हमलों:

<DIV STYLE="width: expression(alert('XSS'));"> 

या

<DIV STYLE="background-image: url(javascript:alert('XSS'))"> 

सभी उदाहरण I've seen या तो अभिव्यक्ति या यूआरएल कार्यक्षमता का उपयोग - जैसे कि आवश्यकता होती है मूल रूप से कुछ समारोह " (" तथा ")"।

मैं छानने स्टाइल टैग के विधि निम्न में से सोच रहा हूँ, मैं उन्हें निम्न का उपयोग कर जाँच करेगा (लगभग) व्याकरण:

identifier: [a-zA-Z_][a-zA-Z0-9\-]* 
number: [0-9]+ 
string: '[a-zA-Z_0-9 ]*' 
value : identifier | number | string | number + "(em|px)" | number +"%" 
entry: identifier ":" value (\s value)* 
style: (entry ;)* 

तो मूल रूप से मैं मूल रूप से संख्यात्मक मान या बहुत ही सीमित स्ट्रिंग मूल्यों के साथ ASCII गुण अनुमति देते हैं (फ़ॉन्ट नामों के लिए) कॉल की तरह दिखने वाली किसी भी चीज़ का उपयोग करने की इजाजत नहीं है।

सवाल यह पर्याप्त है? क्या कोई ऐसा हमला है जो ऐसा कुछ कर सकता है:

<DIV STYLE="this-is-js-property: alert 'XSS';"> 

और सफल?

क्या कोई इस तरह के परीक्षण की एक्सएसएस भेद्यता के बारे में सोच सकता है?

यह स्पष्ट

मैं शैली के रूप में TinyMCE जैसे कई उपकरण उन्हें इस्तेमाल और छानने हानिरहित शैली बंद का श्रेय काफी कार्यक्षमता चोट होगा जिम्मेदार बताते हैं की जरूरत है सुनिश्चित करने के लिए।

इसलिए मैं सामान्य मामलों को @import, url, अभिव्यक्ति आदि का उपयोग करने वाली सभी चीजों को हटाने को प्राथमिकता देता हूं और यह भी सुनिश्चित करता हूं कि मूल सीएसएस वाक्यविन्यास ठीक है।

उत्तर

कोई इसे सुरक्षित क्लिक-जैकिंग जोखिम की वजह से नहीं है।

Answer 1

यह क्लिक-जैकिंग भेद्यता के कारण काम नहीं करता है।

उदाहरण:

<a href="http://example.com/attack.html" style="display: block; z-index: 100000; opacity: 0.5; position: fixed; top: 0px; left: 0; width: 1000000px; height: 100000px; background-color: red;"> </a> 

में मिला: http://www.bioinformatics.org/phplabware/forum/viewtopic.php?id=164

कोड पूरी तरह से पुष्टि की जाएगी, लेकिन यह गंभीर क्षति हो सकती है।

तो - अंगूठे का नियम बहुत सख्त सफेद सूची का उपयोग करें या शैली विशेषताओं की अनुमति न दें।

Answer 2

वहां एक खुली नींव है जिसे OWASP कहा जाता है जो आपको इससे मदद करता है।

अपने प्रश्न का उत्तर देने के लिए Are there any attacks....; हाँ!

वहां बहुत सारे दस्तावेज हैं, और ऐसे पुस्तकालय हैं जिनका उपयोग आप सभी एक्सएसएस कोड से बचने के लिए कर सकते हैं।

XSS prevention sheet पढ़ें।

Answer 3

सुरक्षा नियम # 1: यदि आप कम से कम संदेह में हैं, तो मान लें कि एक छेद है।

आप क्या हासिल करने की कोशिश कर रहे हैं? सीएसएस का अविश्वसनीय स्रोत से कौन सी कार्यक्षमता होगी?

Answer 4

हां, आप शैली विशेषताओं के साथ एक्सएसएस हमलों का उपयोग कर सकते हैं।

इन शैलियों एक विशेष jsp पेज में के रूप में हम उन्हें हमारे टैग में घोषित नहीं किया इंजेक्शन थे, लेकिन जब हमारी सुरक्षा समूह द्वारा लेखा परीक्षित के माध्यम से मिल गया:

<img src="<path here>" style=x:ex/**/pression 
(alert(54163)) ".gif" 

मैं एक HTTP फिल्टर का उपयोग कर सोच रहा हूँ इसे रोकने के लिए, लेकिन मैं अभी भी इसमें देख रहा हूं।

हम अपने छिपा इनपुट फ़ील्ड या तो proteccted नहीं था और इस रूप में अच्छी तरह के माध्यम से मिल गया:

<input type="hidden" name="<variable name here>" value="<value here>" style=x:ex/**/pression(alert 
(54163)) ""> 

Burpsuite जैसे किसी उपकरण के साथ, आप इस तरह टैग में XSS इंजेक्षन करने के लिए मक्खी पर अनुरोध संशोधित कर सकते हैं । हालांकि, ओएसएपीआईपी से ईएसएपीआई एपीआई के साथ, आप सुरक्षा जोड़ सकते हैं। हम जेएसटीएल टैग का उपयोग नहीं कर रहे थे क्योंकि यह पुराना विरासत कोड था, इसलिए यह सबसे अच्छा शॉर्ट टर्म समाधान था।

छिपे हुए इनपुट के लिए मैंने उपयोग किया;

<input type="hidden" name="id" value="<%=ESAPI.encoder().encodeForHTMLAttribute(id)%>" 

तुम भी XSS with the js onload event in an img tag उपयोग कर सकते हैं: