什麼是滲透測試?從網路資安看Client-Side Template Injection

2021/10/07

你聽過所謂的「滲透測試」嗎?網路資訊安全常聽到的滲透測試,是一種利用以駭客的觀點、技術、工具來模擬駭客攻擊手法,來找出系統中弱點及漏洞的一種檢測的方式,也是現在許多網路資安公司都會使用的一種檢測法。

關於XSS - Cross Site Scripting 跨站腳本攻擊
XSS - Cross Site Scripting 跨站腳本攻擊從90年代開始就是一個遭到駭客大量利用的手法,利用瀏覽器在判別伺服器回傳頁面時,無法分辨頁面的HTML資料是由URL中引入、或是由資料庫所引入的攻擊代碼。在這攻擊持續將近20年後,隨著開發技術的日新月異,網頁前後端分離的情況下,前端頁面的渲染技術不同以往,會透過前端網頁的框架將使用者需要使用的頁面即時產出,但這樣的情況下,就不會出現一樣的問題嗎?網頁模板注入攻擊是一種近代跨站腳本攻擊的新手法,透過注入 JavaScript影響渲染流程,導致頁面中渲染後的HTML出現攻擊代碼,是一種變形過後的XSS攻擊。
Template又是什麼?
在介紹Client-Side Template Injection之前,需要先簡單介紹一下網頁模板(Template)是什麼,模板是一種近代網頁框架中常使用到的技術,其主要目的是
讓HTML頁面的產生渲染的過程更加簡單與方便,以前的網頁在不同的HTML頁面中可能存在大量的重複內容,同一個HTML頁面中也會有大量格式相似的內容,網路框架中的模板就是專門用來簡化這些HTML頁面產生的麻煩。模板一般需要由開發UI的開發者負責撰寫,裡面支援模板引擎(TemplateEngine)提供的特殊語法,用來執行開發者所撰寫的產生頁面的邏輯,最終會透過模板引擎渲染出頁面。

看更多:什麼是DDoS攻擊?一次教你如何做好DDoS防護,保護你的網站!

其中網站框架中的模板使用又分為伺服器端(Server-Side)與客戶端(Client-Side),伺服器端的模板引擎於伺服器的主機上執行,透過伺服器上的模板檔案與變數資料進行渲染並回應HTML給客戶端,通常由後端的程式語言運行模板引擎。客戶端的模板引擎運行在使用者的瀏覽器中,透過從伺服器獲得的模板檔案與變數資料進行渲染,通常透過瀏覽器的JavaScript執行模板引擎。

網站框架中的模板

而客戶端的模板撰寫與修改大多不需要改動到運行資料處理或運算的後端程式碼,因此多用在前後端分離的網站架構中。使用者瀏覽頁面時會從伺服器獲得模板和一些前端的JavaScript或CSS檔案,後續操作透過API從後端獲取資料來更新頁面。前端的模板引擎較為人所知的多是一些較知名的前端框架內提供的模板功能,知名的三大前端框架如:Angular、Vue、React,不過除了這些以外也有其它實做模板功能的套件。

關於Client Side Template Injection
Client-Side Template Injection是指一種針對客戶端的模板注入惡意指令的攻擊,正常而言安全的模板使用方式是透過將使用者輸入放入渲染的變數,接著透過模板引擎進行渲染,然而有時候為了開發上的方便性,有可能會動態的產生模板,並在產生模板時放入使用者輸入的內容。

Client-Side Template Injection

在上述的例子中,第一個有可能發生的問題是Cross-Site Scripting的攻擊,因為許多模板的實作中是會帶有HTML格式的內容,假設第一個問題透過字元編碼或過濾解決,仍然存在第二個可能發生的問題,就是模板注入攻擊,因為關鍵字元的不同,針對Cross-Site Scripting的編碼與過濾可能無法防範此攻擊。

攻擊
在瞭網路資安的解滲透測試前,建議也要先了解模板注入攻擊,我們得先了解模板引擎提供給開發者使用的語法。
Angular template範例:

Angular template範例

Vue template範例:

Vue template範例

以Angular和Vue的例子而言可以發現它們都使用"{{}}"作為特殊操作的語法格式。通常以攻擊而言可以先嘗試輸入"{{7*7}}",如果成功被模板引擎解析的話就會變成49,這裡是攻擊前端,我們的目標是執行JavaScript,因此我們可以嘗試輸入"{{alert(0)}} ",但我們可以發現沒有辦法成功,不過我們可以分析模板引擎的行為,觀察我們的輸入如何被執行。
Angular分析
(版本為1.6.0,不同版本有其它處理,此處不做分析)
模板引擎透過Angular中實作的Abstract Syntax Tree分析輸入語法,並產生
JavaScript代碼:

Abstract Syntax Tree分析

代碼中的函式必須存在於下列兩個變數其中一個當中:
1. $filter
2. getStringValue
Vue分析
透過一個Vue的物件作為vm變數作為this去嘗試執行語法內容產生的代碼:

Vue分析

產生的代碼中的任何函式執行前必須要符合以下其中一個條件才允許執行:
1. vm這個物件中包含這個函式相同名稱的物件或函式
2. 函式名稱的type是字串、第一個字元是'_'且在vm的$data中不包含同名稱的物件或函式

繞過
上述兩個模板引擎的執行機制可以透過一個共通的方法繞過,那就是JavaScript中的constructor,JavaScript中任何物件皆包含constructor,而constructor的constructor循環最終會是JavaScript中原生Function constructor,Functionconstructor可以用字串建構出函式。利用上述特性可以使用"{{constructor.constructor('alert(1)')()}}"作為攻擊注入的代碼,Angular中的兩個條件與Vue的第一個條件皆可達成,最終成功執行了測試用的代碼"alert(1) "。
風險
與XSS - Cross-Site Scripting跨站腳本攻擊的風險基本上完全相同。
1. 在沒有Cookie防護如HTTP Only Cookie的情況下竊取Cookie,若是恰巧是針對用於認證身分的Session Cookie則可達到竊取使用者權限的作用。
2. 竊取頁面中的敏感資訊,攻擊者可利用JavaScript存取頁面關鍵的機敏資料欄位,並透過HTTP請求將資料對其他網站傳送。
3. 竄改頁面顯示內容並誘導使用者者進行不當操作。
4. 利用被攻擊的網域偽造請求,此時偽造情求將會帶上使用者的身分認證資訊,導致權限被攻擊者濫用。
5. 使用者正在使用中的頁面將會被攻擊代碼導向至惡意網站。
防禦
1. 於開發時若無必要性,模板的渲染相關的參數應與使用者輸入分離。
2. 過濾使用者輸入,必須確保不會因為任何轉換造成語法的關鍵字成為模板中的內容。這邊建議可以多看看使用框架的Security Best Practice 章節,裡
面往往會有sanitize相關的內容可以參考,可以透過使用套件方式去過濾使用者的輸入、或是以白名單的做法縮小Attack Surface。
例子
底下我們可以看到兩個來自hackerone這個漏洞懸賞平台的案例:

一、

hackerone漏洞懸賞平台的案例


這個Uber的範例是由知名網頁滲透測試工具BurpSuite的研究總監James Kettle所通報。

瞭解更多:網路資安滲透測試檢測
由回報的URL中,我們可以根據描述了解到此案例中的Angular會使用QuertString中q參數的值產生模板,並且在被渲染時此處被注入的惡意程式碼可以被執行,可用於做出惡意連結,令使用者觸發此惡意行為。這樣的模式是不是很近似反射型的跨站腳本攻擊呢?

二、

hackerone


根據描述我們無法確認具體的前端框架或模板引擎,不過我們可以看到注入的惡意程式碼與我們前面繞過Angular與Vue的一樣,也許是兩者其中之一。不過我們可以瞭解到在這個案例中注入的惡意程式碼會儲存在資料庫中,並且每此瀏覽此頁面都會觸發,相較於上個案例而言,根據頁面可能造成使用者瀏覽正常頁面時就觸發惡意行為,危害較大。我們在滲透測試的專案中也往往會遇到開發者並未針對資料庫中的資料來源做sanitize過濾,但恰巧此處的資料庫資料是使用者所輸入的,導致會有儲存型跨站腳本攻擊的結果。
結論
近幾年大量前後端分離的網站開發狀況下,在我們執行滲透測試專案時,會特別注意開發者是否針對前端輸出的資料處理到位,確認除了沒有跨站腳本攻擊的問題之外,再多加確認是否存在用戶端模板注入攻擊的問題。也希望透過這樣的文章讓大家了解近幾年較為新型態的網頁攻擊!
延伸閱讀:

預防駭客行動詐騙!看懂App網路資訊安全「原始碼加密」技術!

要如何預防駭客攻擊?6步驟教你如何提升網路資安的安全性!

參考資料:

https://hackerone.com/reports/125027

https://hackerone.com/reports/250837



其他訊息
嚇!手遊資安危機 數小時恐喪失上億營收

嚇!手遊資安危機 數小時恐喪失上億營收

2016/08/10
Pokemon Go越紅公司損失越大! 歷時兩年開發,上市不到72小時就被駭

Pokemon Go越紅公司損失越大! 歷時兩年開發,上市不到72小時就被駭

2016/07/20
注意!金融業已成為駭客攻擊目標,4個防範手機App的資安威脅!

注意!金融業已成為駭客攻擊目標,4個防範手機App的資安威脅!

2016/07/15
準行政團隊Line國事作法急轉彎,準經長受命客製臺版即時通

準行政團隊Line國事作法急轉彎,準經長受命客製臺版即時通

2016/04/29
從Google Play下載App保證安全!? 資安業者:超過100款惡意程式會偷資料、點擊詐騙

從Google Play下載App保證安全!? 資安業者:超過100款惡意程式會偷資料、點擊詐騙

2016/04/27
網銀App漏洞 金管會關注

網銀App漏洞 金管會關注

2016/04/07
Google釋出Nexus Android 4月份更新,一次修補近40項漏洞

Google釋出Nexus Android 4月份更新,一次修補近40項漏洞

2016/04/07
Android逆向之旅---靜態分析技術來破解Apk

Android逆向之旅---靜態分析技術來破解Apk

2015/11/28
Xcode Ghost事件說明及處理建議

Xcode Ghost事件說明及處理建議

2015/09/22
NEW-【第一季資安報告】加密勒索軟體感染翻兩倍;行動惡意威脅App突破500萬大關!

NEW-【第一季資安報告】加密勒索軟體感染翻兩倍;行動惡意威脅App突破500萬大關!

2015/06/01
Critical GHOST vulnerability affects most Linux Systems

Critical GHOST vulnerability affects most Linux Systems

2015/01/30
會員、個人資料外洩怎麼辦?4個預防資料外洩方法一次看懂!

會員、個人資料外洩怎麼辦?4個預防資料外洩方法一次看懂!

2017/03/10
駭客工具的氾濫VS企業所面對的資安威脅

駭客工具的氾濫VS企業所面對的資安威脅

2017/05/26
API 安全問題探討

API 安全問題探討

2017/09/09
JAVA世界中不安全的反序列化風險

JAVA世界中不安全的反序列化風險

2018/01/05
來自外部的威脅 - XXE漏洞攻擊成因

來自外部的威脅 - XXE漏洞攻擊成因

2018/06/15
網路詐騙手法!釣魚信件、釣魚網站的社交工程駭客常見3手法!

網路詐騙手法!釣魚信件、釣魚網站的社交工程駭客常見3手法!

2019/06/04
要如何預防駭客攻擊?6步驟教你如何提升網路資安的安全性!

要如何預防駭客攻擊?6步驟教你如何提升網路資安的安全性!

2020/01/22
注意!行動裝置App資安檢測最需要注意「防記憶體偵測」技術!

注意!行動裝置App資安檢測最需要注意「防記憶體偵測」技術!

2021/06/22
什麼是Web Cache?3分鐘快速帶你瞭解Web Cache的功能及使用方式!

什麼是Web Cache?3分鐘快速帶你瞭解Web Cache的功能及使用方式!

2021/07/13
如何防範網站速度的延遲及停機?看國外在特賣期間是如何做到的!

如何防範網站速度的延遲及停機?看國外在特賣期間是如何做到的!

2021/07/13
常見手機APP駭客工具-FRIDA,預防你的網站遭受駭客攻擊!

常見手機APP駭客工具-FRIDA,預防你的網站遭受駭客攻擊!

2021/07/13
App手機行動裝置的Xposed軟件攻擊模式,該如何防禦網路資安?

App手機行動裝置的Xposed軟件攻擊模式,該如何防禦網路資安?

2021/07/22
手機被駭怎麼辦?5分鐘一次教你破解Mobile App駭客攻擊手法!

手機被駭怎麼辦?5分鐘一次教你破解Mobile App駭客攻擊手法!

2021/07/30
支付、網銀金融App安全嗎?你必知的白帽App資安漏洞分析!

支付、網銀金融App安全嗎?你必知的白帽App資安漏洞分析!

2021/08/09
預防駭客行動詐騙!看懂App網路資訊安全「原始碼加密」技術!

預防駭客行動詐騙!看懂App網路資訊安全「原始碼加密」技術!

2021/08/13
什麼是ApkCrack?3步驟瞭解駭客工具並完美預防駭客攻擊!

什麼是ApkCrack?3步驟瞭解駭客工具並完美預防駭客攻擊!

2021/08/20
新型Android安卓駭客破解工具Mhook出現!當心被手機駭客攻擊!

新型Android安卓駭客破解工具Mhook出現!當心被手機駭客攻擊!

2021/08/26
從零基礎學破解的駭客工具     Magisk Root,     看懂駭客攻擊如何操作!

從零基礎學破解的駭客工具 Magisk Root, 看懂駭客攻擊如何操作!

2021/09/06
什麼是幸運破解器Lucky Patcher?不得不正視的APP資安問題!

什麼是幸運破解器Lucky Patcher?不得不正視的APP資安問題!

2021/09/15
飛馬間諜軟體讓駭客監控你的手機!不點連結就能自動感染

飛馬間諜軟體讓駭客監控你的手機!不點連結就能自動感染

2021/09/16
什麼是DDoS攻擊?一次教你如何做好DDoS防護,保護你的網站!

什麼是DDoS攻擊?一次教你如何做好DDoS防護,保護你的網站!

2021/09/28
APP資安防禦不可輕忽!最新手遊作弊修改器GameGuardian!

APP資安防禦不可輕忽!最新手遊作弊修改器GameGuardian!

2021/10/04
什麼是滲透測試?從網路資安看Client-Side Template Injection

什麼是滲透測試?從網路資安看Client-Side Template Injection

2021/10/07
手機更新後銀行帳密全被盜!小心Flubot惡意軟體入侵

手機更新後銀行帳密全被盜!小心Flubot惡意軟體入侵

2021/10/07
如何提升網站速度及效能?推薦先搞懂動態v.s靜態網站的差 異!

如何提升網站速度及效能?推薦先搞懂動態v.s靜態網站的差 異!

2021/10/25
網站在中國速度很慢?中國網站加速的CDN內容傳遞最佳實務!

網站在中國速度很慢?中國網站加速的CDN內容傳遞最佳實務!

2021/10/25
如何提升網站效能優化?推薦5個改善網站速度的方法一次看!

如何提升網站效能優化?推薦5個改善網站速度的方法一次看!

2021/11/23
線上學習網站速度太慢怎麼辦?透過CDN達到網站加速!

線上學習網站速度太慢怎麼辦?透過CDN達到網站加速!

2021/12/13
遇到DDoS駭客攻擊怎麼辦?一站式的雲端安全管理有用嗎?

遇到DDoS駭客攻擊怎麼辦?一站式的雲端安全管理有用嗎?

2021/12/13
企業安全合規5式,做好DDOS防護提升您的網絡安全策略!

企業安全合規5式,做好DDOS防護提升您的網絡安全策略!

2021/12/27
「負載平衡」是什麼意思?網站加速與負載平衡也有關嗎?

「負載平衡」是什麼意思?網站加速與負載平衡也有關嗎?

2022/01/03
2021最大資安漏洞!修補方式一次完整揭露

2021最大資安漏洞!修補方式一次完整揭露

2022/01/05
SSTI惡意指令注入防不勝防,面對駭客惡意攻擊,要如何戒備與防範?

SSTI惡意指令注入防不勝防,面對駭客惡意攻擊,要如何戒備與防範?

2022/01/14