什麼是滲透測試?從網路資安看Client-Side Template Injection
你聽過所謂的「滲透測試」嗎?網路資訊安全常聽到的滲透測試,是一種利用以駭客的觀點、技術、工具來模擬駭客攻擊手法,來找出系統中弱點及漏洞的一種檢測的方式,也是現在許多網路資安公司都會使用的一種檢測法。
關於XSS - Cross Site Scripting 跨站腳本攻擊
XSS - Cross Site Scripting 跨站腳本攻擊從90年代開始就是一個遭到駭客大量利用的手法,利用瀏覽器在判別伺服器回傳頁面時,無法分辨頁面的HTML資料是由URL中引入、或是由資料庫所引入的攻擊代碼。在這攻擊持續將近20年後,隨著開發技術的日新月異,網頁前後端分離的情況下,前端頁面的渲染技術不同以往,會透過前端網頁的框架將使用者需要使用的頁面即時產出,但這樣的情況下,就不會出現一樣的問題嗎?網頁模板注入攻擊是一種近代跨站腳本攻擊的新手法,透過注入 JavaScript影響渲染流程,導致頁面中渲染後的HTML出現攻擊代碼,是一種變形過後的XSS攻擊。
Template又是什麼?
在介紹Client-Side Template Injection之前,需要先簡單介紹一下網頁模板(Template)是什麼,模板是一種近代網頁框架中常使用到的技術,其主要目的是
讓HTML頁面的產生渲染的過程更加簡單與方便,以前的網頁在不同的HTML頁面中可能存在大量的重複內容,同一個HTML頁面中也會有大量格式相似的內容,網路框架中的模板就是專門用來簡化這些HTML頁面產生的麻煩。模板一般需要由開發UI的開發者負責撰寫,裡面支援模板引擎(TemplateEngine)提供的特殊語法,用來執行開發者所撰寫的產生頁面的邏輯,最終會透過模板引擎渲染出頁面。
看更多:什麼是DDoS攻擊?一次教你如何做好DDoS防護,保護你的網站!
其中網站框架中的模板使用又分為伺服器端(Server-Side)與客戶端(Client-Side),伺服器端的模板引擎於伺服器的主機上執行,透過伺服器上的模板檔案與變數資料進行渲染並回應HTML給客戶端,通常由後端的程式語言運行模板引擎。客戶端的模板引擎運行在使用者的瀏覽器中,透過從伺服器獲得的模板檔案與變數資料進行渲染,通常透過瀏覽器的JavaScript執行模板引擎。
而客戶端的模板撰寫與修改大多不需要改動到運行資料處理或運算的後端程式碼,因此多用在前後端分離的網站架構中。使用者瀏覽頁面時會從伺服器獲得模板和一些前端的JavaScript或CSS檔案,後續操作透過API從後端獲取資料來更新頁面。前端的模板引擎較為人所知的多是一些較知名的前端框架內提供的模板功能,知名的三大前端框架如:Angular、Vue、React,不過除了這些以外也有其它實做模板功能的套件。
關於Client Side Template Injection
Client-Side Template Injection是指一種針對客戶端的模板注入惡意指令的攻擊,正常而言安全的模板使用方式是透過將使用者輸入放入渲染的變數,接著透過模板引擎進行渲染,然而有時候為了開發上的方便性,有可能會動態的產生模板,並在產生模板時放入使用者輸入的內容。
在上述的例子中,第一個有可能發生的問題是Cross-Site Scripting的攻擊,因為許多模板的實作中是會帶有HTML格式的內容,假設第一個問題透過字元編碼或過濾解決,仍然存在第二個可能發生的問題,就是模板注入攻擊,因為關鍵字元的不同,針對Cross-Site Scripting的編碼與過濾可能無法防範此攻擊。
攻擊
在瞭網路資安的解滲透測試前,建議也要先了解模板注入攻擊,我們得先了解模板引擎提供給開發者使用的語法。
Angular template範例:
Vue template範例:
以Angular和Vue的例子而言可以發現它們都使用"{{}}"作為特殊操作的語法格式。通常以攻擊而言可以先嘗試輸入"{{7*7}}",如果成功被模板引擎解析的話就會變成49,這裡是攻擊前端,我們的目標是執行JavaScript,因此我們可以嘗試輸入"{{alert(0)}} ",但我們可以發現沒有辦法成功,不過我們可以分析模板引擎的行為,觀察我們的輸入如何被執行。
Angular分析
(版本為1.6.0,不同版本有其它處理,此處不做分析)
模板引擎透過Angular中實作的Abstract Syntax Tree分析輸入語法,並產生
JavaScript代碼:
代碼中的函式必須存在於下列兩個變數其中一個當中:
1. $filter
2. getStringValue
Vue分析
透過一個Vue的物件作為vm變數作為this去嘗試執行語法內容產生的代碼:
產生的代碼中的任何函式執行前必須要符合以下其中一個條件才允許執行:
1. vm這個物件中包含這個函式相同名稱的物件或函式
2. 函式名稱的type是字串、第一個字元是'_'且在vm的$data中不包含同名稱的物件或函式
繞過
上述兩個模板引擎的執行機制可以透過一個共通的方法繞過,那就是JavaScript中的constructor,JavaScript中任何物件皆包含constructor,而constructor的constructor循環最終會是JavaScript中原生Function constructor,Functionconstructor可以用字串建構出函式。利用上述特性可以使用"{{constructor.constructor('alert(1)')()}}"作為攻擊注入的代碼,Angular中的兩個條件與Vue的第一個條件皆可達成,最終成功執行了測試用的代碼"alert(1) "。
風險
與XSS - Cross-Site Scripting跨站腳本攻擊的風險基本上完全相同。
1. 在沒有Cookie防護如HTTP Only Cookie的情況下竊取Cookie,若是恰巧是針對用於認證身分的Session Cookie則可達到竊取使用者權限的作用。
2. 竊取頁面中的敏感資訊,攻擊者可利用JavaScript存取頁面關鍵的機敏資料欄位,並透過HTTP請求將資料對其他網站傳送。
3. 竄改頁面顯示內容並誘導使用者者進行不當操作。
4. 利用被攻擊的網域偽造請求,此時偽造情求將會帶上使用者的身分認證資訊,導致權限被攻擊者濫用。
5. 使用者正在使用中的頁面將會被攻擊代碼導向至惡意網站。
防禦
1. 於開發時若無必要性,模板的渲染相關的參數應與使用者輸入分離。
2. 過濾使用者輸入,必須確保不會因為任何轉換造成語法的關鍵字成為模板中的內容。這邊建議可以多看看使用框架的Security Best Practice 章節,裡
面往往會有sanitize相關的內容可以參考,可以透過使用套件方式去過濾使用者的輸入、或是以白名單的做法縮小Attack Surface。
例子
底下我們可以看到兩個來自hackerone這個漏洞懸賞平台的案例:
一、
這個Uber的範例是由知名網頁滲透測試工具BurpSuite的研究總監James Kettle所通報。
瞭解更多:網路資安滲透測試檢測
由回報的URL中,我們可以根據描述了解到此案例中的Angular會使用QuertString中q參數的值產生模板,並且在被渲染時此處被注入的惡意程式碼可以被執行,可用於做出惡意連結,令使用者觸發此惡意行為。這樣的模式是不是很近似反射型的跨站腳本攻擊呢?
二、
根據描述我們無法確認具體的前端框架或模板引擎,不過我們可以看到注入的惡意程式碼與我們前面繞過Angular與Vue的一樣,也許是兩者其中之一。不過我們可以瞭解到在這個案例中注入的惡意程式碼會儲存在資料庫中,並且每此瀏覽此頁面都會觸發,相較於上個案例而言,根據頁面可能造成使用者瀏覽正常頁面時就觸發惡意行為,危害較大。我們在滲透測試的專案中也往往會遇到開發者並未針對資料庫中的資料來源做sanitize過濾,但恰巧此處的資料庫資料是使用者所輸入的,導致會有儲存型跨站腳本攻擊的結果。
結論
近幾年大量前後端分離的網站開發狀況下,在我們執行滲透測試專案時,會特別注意開發者是否針對前端輸出的資料處理到位,確認除了沒有跨站腳本攻擊的問題之外,再多加確認是否存在用戶端模板注入攻擊的問題。也希望透過這樣的文章讓大家了解近幾年較為新型態的網頁攻擊!
延伸閱讀:
預防駭客行動詐騙!看懂App網路資訊安全「原始碼加密」技術!
參考資料:
https://hackerone.com/reports/125027
https://hackerone.com/reports/250837