什麼是滲透測試？從網路資安看Client-Side Template Injection

2021/10/07

你聽過所謂的「滲透測試」嗎？網路資訊安全常聽到的滲透測試，是一種利用以駭客的觀點、技術、工具來模擬駭客攻擊手法，來找出系統中弱點及漏洞的一種檢測的方式，也是現在許多網路資安公司都會使用的一種檢測法。

關於XSS - Cross Site Scripting 跨站腳本攻擊
XSS - Cross Site Scripting 跨站腳本攻擊從90年代開始就是一個遭到駭客大量利用的手法，利用瀏覽器在判別伺服器回傳頁面時，無法分辨頁面的HTML資料是由URL中引入、或是由資料庫所引入的攻擊代碼。在這攻擊持續將近20年後，隨著開發技術的日新月異，網頁前後端分離的情況下，前端頁面的渲染技術不同以往，會透過前端網頁的框架將使用者需要使用的頁面即時產出，但這樣的情況下，就不會出現一樣的問題嗎？網頁模板注入攻擊是一種近代跨站腳本攻擊的新手法，透過注入 JavaScript影響渲染流程，導致頁面中渲染後的HTML出現攻擊代碼，是一種變形過後的XSS攻擊。
Template又是什麼？
在介紹Client-Side Template Injection之前，需要先簡單介紹一下網頁模板(Template)是什麼，模板是一種近代網頁框架中常使用到的技術，其主要目的是
讓HTML頁面的產生渲染的過程更加簡單與方便，以前的網頁在不同的HTML頁面中可能存在大量的重複內容，同一個HTML頁面中也會有大量格式相似的內容，網路框架中的模板就是專門用來簡化這些HTML頁面產生的麻煩。模板一般需要由開發UI的開發者負責撰寫，裡面支援模板引擎(TemplateEngine)提供的特殊語法，用來執行開發者所撰寫的產生頁面的邏輯，最終會透過模板引擎渲染出頁面。

看更多：什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

其中網站框架中的模板使用又分為伺服器端(Server-Side)與客戶端(Client-Side)，伺服器端的模板引擎於伺服器的主機上執行，透過伺服器上的模板檔案與變數資料進行渲染並回應HTML給客戶端，通常由後端的程式語言運行模板引擎。客戶端的模板引擎運行在使用者的瀏覽器中，透過從伺服器獲得的模板檔案與變數資料進行渲染，通常透過瀏覽器的JavaScript執行模板引擎。

網站框架中的模板

而客戶端的模板撰寫與修改大多不需要改動到運行資料處理或運算的後端程式碼，因此多用在前後端分離的網站架構中。使用者瀏覽頁面時會從伺服器獲得模板和一些前端的JavaScript或CSS檔案，後續操作透過API從後端獲取資料來更新頁面。前端的模板引擎較為人所知的多是一些較知名的前端框架內提供的模板功能，知名的三大前端框架如：Angular、Vue、React，不過除了這些以外也有其它實做模板功能的套件。

關於Client Side Template Injection
Client-Side Template Injection是指一種針對客戶端的模板注入惡意指令的攻擊，正常而言安全的模板使用方式是透過將使用者輸入放入渲染的變數，接著透過模板引擎進行渲染，然而有時候為了開發上的方便性，有可能會動態的產生模板，並在產生模板時放入使用者輸入的內容。

Client-Side Template Injection

在上述的例子中，第一個有可能發生的問題是Cross-Site Scripting的攻擊，因為許多模板的實作中是會帶有HTML格式的內容，假設第一個問題透過字元編碼或過濾解決，仍然存在第二個可能發生的問題，就是模板注入攻擊，因為關鍵字元的不同，針對Cross-Site Scripting的編碼與過濾可能無法防範此攻擊。

攻擊
在瞭網路資安的解滲透測試前，建議也要先了解模板注入攻擊，我們得先了解模板引擎提供給開發者使用的語法。
Angular template範例：

Angular template範例

Vue template範例：

Vue template範例

以Angular和Vue的例子而言可以發現它們都使用"{{}}"作為特殊操作的語法格式。通常以攻擊而言可以先嘗試輸入"{{7*7}}"，如果成功被模板引擎解析的話就會變成49，這裡是攻擊前端，我們的目標是執行JavaScript，因此我們可以嘗試輸入"{{alert(0)}} "，但我們可以發現沒有辦法成功，不過我們可以分析模板引擎的行為，觀察我們的輸入如何被執行。
Angular分析
(版本為1.6.0，不同版本有其它處理，此處不做分析)
模板引擎透過Angular中實作的Abstract Syntax Tree分析輸入語法，並產生
JavaScript代碼：

Abstract Syntax Tree分析

代碼中的函式必須存在於下列兩個變數其中一個當中：
1. $filter
2. getStringValue
Vue分析
透過一個Vue的物件作為vm變數作為this去嘗試執行語法內容產生的代碼：

Vue分析

產生的代碼中的任何函式執行前必須要符合以下其中一個條件才允許執行：
1. vm這個物件中包含這個函式相同名稱的物件或函式
2. 函式名稱的type是字串、第一個字元是'_'且在vm的$data中不包含同名稱的物件或函式

繞過
上述兩個模板引擎的執行機制可以透過一個共通的方法繞過，那就是JavaScript中的constructor，JavaScript中任何物件皆包含constructor，而constructor的constructor循環最終會是JavaScript中原生Function constructor，Functionconstructor可以用字串建構出函式。利用上述特性可以使用"{{constructor.constructor('alert(1)')()}}"作為攻擊注入的代碼，Angular中的兩個條件與Vue的第一個條件皆可達成，最終成功執行了測試用的代碼"alert(1) "。
風險
與XSS - Cross-Site Scripting跨站腳本攻擊的風險基本上完全相同。
1. 在沒有Cookie防護如HTTP Only Cookie的情況下竊取Cookie，若是恰巧是針對用於認證身分的Session Cookie則可達到竊取使用者權限的作用。
2. 竊取頁面中的敏感資訊，攻擊者可利用JavaScript存取頁面關鍵的機敏資料欄位，並透過HTTP請求將資料對其他網站傳送。
3. 竄改頁面顯示內容並誘導使用者者進行不當操作。
4. 利用被攻擊的網域偽造請求，此時偽造情求將會帶上使用者的身分認證資訊，導致權限被攻擊者濫用。
5. 使用者正在使用中的頁面將會被攻擊代碼導向至惡意網站。
防禦
1. 於開發時若無必要性，模板的渲染相關的參數應與使用者輸入分離。
2. 過濾使用者輸入，必須確保不會因為任何轉換造成語法的關鍵字成為模板中的內容。這邊建議可以多看看使用框架的Security Best Practice 章節，裡
面往往會有sanitize相關的內容可以參考，可以透過使用套件方式去過濾使用者的輸入、或是以白名單的做法縮小Attack Surface。
例子
底下我們可以看到兩個來自hackerone這個漏洞懸賞平台的案例：

一、

hackerone漏洞懸賞平台的案例

這個Uber的範例是由知名網頁滲透測試工具BurpSuite的研究總監James Kettle所通報。

瞭解更多：網路資安滲透測試檢測
由回報的URL中，我們可以根據描述了解到此案例中的Angular會使用QuertString中q參數的值產生模板，並且在被渲染時此處被注入的惡意程式碼可以被執行，可用於做出惡意連結，令使用者觸發此惡意行為。這樣的模式是不是很近似反射型的跨站腳本攻擊呢？

二、

hackerone

根據描述我們無法確認具體的前端框架或模板引擎，不過我們可以看到注入的惡意程式碼與我們前面繞過Angular與Vue的一樣，也許是兩者其中之一。不過我們可以瞭解到在這個案例中注入的惡意程式碼會儲存在資料庫中，並且每此瀏覽此頁面都會觸發，相較於上個案例而言，根據頁面可能造成使用者瀏覽正常頁面時就觸發惡意行為，危害較大。我們在滲透測試的專案中也往往會遇到開發者並未針對資料庫中的資料來源做sanitize過濾，但恰巧此處的資料庫資料是使用者所輸入的，導致會有儲存型跨站腳本攻擊的結果。
結論
近幾年大量前後端分離的網站開發狀況下，在我們執行滲透測試專案時，會特別注意開發者是否針對前端輸出的資料處理到位，確認除了沒有跨站腳本攻擊的問題之外，再多加確認是否存在用戶端模板注入攻擊的問題。也希望透過這樣的文章讓大家了解近幾年較為新型態的網頁攻擊！
延伸閱讀：

產業訊息

什麼是滲透測試？從網路資安看Client-Side Template Injection

其他訊息

如何有效監控雲端成本？用「用量」而非「費用」來分析異常

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

採用人工智慧克服銀行業的挑戰

雲端遷移策略企業數位轉型關鍵

從遊戲產業到數位平台：BigQuery 如何突破海量數據挑戰

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

企業需要用到CDN嗎？3分鐘快速瞭解CDN架構、用途和優點！

AWS是什麼？AWS雲端服務類型、優勢和使用方式一次瞭解！

DevOps和SRE差在哪？DevOps的4大優勢和相關服務推薦一次看！

如何做好雲端安全防護？推薦這6大雲端資安健診方法一次看！

IDC是什麼？我適合用嗎？挑選IDC機房3個重點和注意事項一次懂！

全新登場！阿里雲 CAPTCHA 服務，給您頂級安全防護與用戶體驗

什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

如何提升網站效能優化？推薦5個改善網站速度的方法一次看！

雲端遷移成功關鍵因素

SOC它到底是什麼?它對資安有什麼作用?對於SOC資訊安全監控的功能與優勢有哪些?

精準運維，一站監控：探索騰訊雲可觀測平台的強大功能

Page Speed網頁速度如何加快？四種方法教你如何改善網站速度！

果核 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

如何定義開源軟體＆套件？3分鐘快速搞懂第三方套件的授權模式！

雜貨店也能數位轉型？食品零售商如何透過公有雲優化商務呢

騰訊雲CCN雲聯網 手把手配置 高效穩定企業跨境全球互聯

【2024最新】公司企業的3款最佳Devops工具，成功案例一次看！

使用CDN安全嗎？CDN如何達到基本防護功能呢?

我用的APP安全嗎？會被竊個資嗎？3分鐘快速檢查手機APP資安！

如何確保做好企業資訊安全？這4大DDoS防護方法，推薦學起來！

發現手機被追蹤怎麼辦？注意 這十大被駭徵兆，手機資安恐不 保！

如何加快網站速度?影響網速的要件及升級指南

Vertex AI 和 Workbench 語言模組實戰，打造有人性的客服小幫手

我的 AWS實例啟用失敗，應該怎麼做？

果核 2023 最終場駭客論壇，探討網站風險、原碼檢測盲點與 Crypto 黑暗面

DDOS流量清洗是什麼？可以阻擋攻擊嗎？DDOS防禦方法一次看！

Devops是什麼？推薦企業一次看懂Devops定義、流程及優缺點！

如何做好資安防護？3個APP資安檢測工具、費用及功能一次看！

CDN廠商怎麼選？中華電信CDN、Cloudflare及Multi CDN大評比！

如何檢測iOS、Android手機資安？4招檢測方法預防詐騙＆駭客！

Google Cloud 引領潮流，擴大企業級生成式 AI的應用範疇，開創無限可能！

果核邀請專家獻策，破解惡意後門與車載資安盲點

企業為什麼要上雲？用途為何？盤點上雲5大優勢和費用解析！

可自建CDN嗎？和供應商差在哪？兩者優缺點和供應商挑選一次懂！

優化數據處理體驗：探索騰訊雲 EdgeOne 邊緣計算新境界

我該如何選擇最適合 AWS EC2 實例?

企業如何挑選合適的雲端服務？公有雲、私有雲差異比較總整理

技術專欄_運用AWS Network Firewall控制 Workspaces

弱點掃描工具有哪些？5款免費、付費弱點掃描工具優缺點分析！

如何設定網站CDN？推薦公司企業使用CDN加速的4大原因！

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

如何測試網站安全？OWASP工具測試弱點掃描的功能服務解析！

如何防禦DDoS攻擊？推薦這4大DDoS防護方法，避免網站被駭！

Google Cloud 初學者指南：我該將服務運行在哪呢？

果核串聯執法機關、資安廠商與風險顧問引導企業降低遇駭危機

企業需要SOC資安監控嗎？如何評估？看懂SOC監控的5大功能！

Multi CDN是什麼？為什麼要融合CDN？其應用方法與原理一次知！

如何利用CDN內容傳遞網路讓網站加速？4大優勢與趨勢分析！

DDoS攻擊怎麼防禦？DDoS攻擊手法與資安供應商挑選一次搞懂！

為什麼網站速度慢？和網頁設計有關嗎？速度慢會造成什麼影響？

如何提升企業雲端防護力-Cloud Armor

果核 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

2021 OWASP Top 10 A09資安紀錄與監控失效

2021 OWASP Top 10 A10伺服器請求偽造

安全防護：Web Application Firewall 設定教學

主動追蹤 AWS 「資源用量」，避免配額用盡造成任務失敗

我的網站慢嗎？如何檢測讓網站加速？新手必知 5 項網站優化指南！

阿里雲訪問控制與權限設置教學

該怎麼選擇 GCP Disk ?

AWS-WorkSpaces雲端桌面服務 (下集)

SOC 是什麼？SOC 資訊安全監控 v.s NOC 網路操作中心的差異？

2021 OWASP Top 10 A08軟體及資料完整性失效

OWASP前10大A07認證及驗證機制失效，瞭解如何修補及預防！

2022 果核 Hacker Talk 漂亮收尾， 解構開發模式、弱點檢測之安全盲點

CDN 內容傳遞網路是什麼？其運作的原理及用途為何？

SOC 資訊安全監控中心是什麼？4 項功能服務與優勢一次知！

如何提高網站的速度，為中國用戶提供可靠的體驗?

如果AWS訪問密鑰暴露怎麼辦？記住這4步驟一定要先做起來！

快速上手打造專屬直播平台

2021 OWASP Top 10 A06易受攻擊和已淘汰的組件

果核Hacker Talk傳授企業資安設計要訣，並探索IoT資安風險化解之道

果核 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

騰訊雲CCN雲聯網手把手配置高效穩定企業跨境全球互聯

發現手機被追蹤怎麼辦？注意這十大被駭徵兆，手機資安恐不保！

果核 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2022 果核 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

如何提升網站速度及效能？推薦先搞懂動態v.s靜態網站的差異！

從零基礎學破解的駭客工具 Magisk Root，看懂駭客攻擊如何操作！

嚇！手遊資安危機　數小時恐喪失上億營收

從Google Play下載App保證安全!？資安業者：超過100款惡意程式會偷資料、點擊詐騙

網銀App漏洞金管會關注