【工具DVWA】DVWA渗透系列十三：CSPBypass

前言

DVWA安装使用介绍&＃xff0c;见&＃xff1a;【工具-DVWA】DVWA的安装和使用

本渗透系列包含最新DVWA的14个渗透测试样例&＃xff1a;

1.Brute Force(暴力破解)                    
2.Command Injection&＃xff08;命令注入&＃xff09;
3.CSRF(跨站请求伪造)                        
4.File Inclusion&＃xff08;文件包含&＃xff09;
5.File Upload&＃xff08;文件上传&＃xff09;                    
6.Insecure CAPTCHA(不安全的验证码)
7.SQL Injection&＃xff08;SQL注入&＃xff09;                    
8.SQL Injection&＃xff08;Blind&＃xff09;&＃xff08;SQL盲注&＃xff09;
9.Weak Session IDs&＃xff08;有问题的会话ID&＃xff09;                
10.XSS(DOM)&＃xff08;DOM型xss&＃xff09;
11.XSS(ref)&＃xff08;反射型xss&＃xff09;                    
12.XSS(Stored)&＃xff08;存储型xss&＃xff09;
13.CSP Bypass&＃xff08;Content Security Policy内容安全策略&＃xff0c;旁路/绕过&＃xff09;    
14.Javascript

安全级别分低、中、高、安全四个级别来分析CSP Bypass的渗透测试过程。

1 基础知识

• CSP-Content Security Policy 

内容安全策略&＃xff0c;以白名单的机制对网站加载或执行的资源起作用。在网页中&＃xff0c;这样的策略通过 HTTP 头信息或者 meta 元素定义。简单理解就是&＃xff0c;自定义放行脚本规则&＃xff0c;感兴趣可以去看&＃xff1a;https://content-security-policy.com/。

• Bypass

旁路&＃xff0c;也就是绕过CSP规则咯。

2 Low

2.1 渗透测试

• 确认当前CSP规则&＃xff1a;发现放行的几个网站&＃xff0c;选一个试试&＃xff1a;https://pastebin.com

• 访问&＃xff0c;并输入alert测试代码&＃xff0c;点击raw&＃xff0c;得到一个网址&＃xff1a;

• 输入网址测试&＃xff1a;出现弹框

2.2 源码分析

发现&＃xff1a;就是请求头所定义的CSP规则&＃xff0c;放行了多个来源网站

$headerCSP &＃61; "Content-Security-Policy: script-src &＃39;self&＃39; https://pastebin.com example.com code.jquery.com https://ssl.google-analytics.com ;";

3 Medium

3.1 渗透测试

• 确认当前CSP规则&＃xff1a;

• 访问https://content-security-policy.com/&＃xff0c;确认CSP规则含义&＃xff1a;script中添加属性norce值&＃xff0c;即可放行

• 使用nonce值绕过&＃xff1a;成功

3.2 源码分析

发现&＃xff1a;添加了放行规则&＃xff0c;包含nonce属性值为&＃xff1a;TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA&＃61;

$headerCSP &＃61; "Content-Security-Policy: script-src &＃39;self&＃39; &＃39;unsafe-inline&＃39; &＃39;nonce-TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA&＃61;&＃39;;";

4 High

4.1 渗透测试

• 观察&＃xff1a;没有输入框了&＃xff0c;只有一个提交按钮&＃xff0c;提示说修改jsonp.php页面&＃xff0c;来执行你自己的代码

• 确认CSP级别&＃xff1a;仅允许加载当前服务的js&＃xff0c;好吧那就只有提示所说的路可走

• 查看页面源码&＃xff1a;发现表单内包含一个js文件

• 点击访问&＃xff1a;发现与提示中的php页面相关的请求&＃xff0c;且返回结果的answer字段&＃xff0c;会注入到页面中&＃xff01;

• burpsuite拦截请求&＃xff0c;查看&＃xff1a;发现可被利用的参数只有一个callback

• 改成alert(1)&＃xff0c;试试&＃xff0c;额&＃xff0c;居然就这么成功了......

GET /DVWA-master/vulnerabilities/csp/source/jsonp.php?callback&＃61;alert(1) HTTP/1.1

4.2 源码分析

jsonp.php&＃xff1a;发现&＃xff0c;居然把提交参数返回给前端了&＃xff0c;人才&＃xff01;

header("Content-Type: application/json; charset&＃61;UTF-8");if (array_key_exists ("callback", $_GET)) {$callback &＃61; $_GET[&＃39;callback&＃39;];
} else {return "";
}$outp &＃61; array ("answer" &＃61;> "15");echo $callback . "(".json_encode($outp).")";
?>


5 Impossible

源码分析&＃xff1a;

jsonp_impossible.php&＃xff1a;不加入前端输入&＃xff0c;直接返回结果

header("Content-Type: application/json; charset&＃61;UTF-8");$outp &＃61; array ("answer" &＃61;> "15");echo "solveSum (".json_encode($outp).")";
?>


6 总结

CSP&＃xff0c;由于许多历史原因&＃xff0c;也就是程序允许前端执行各类非安全代码&＃xff08;程序员的锅么&＃xff1f;&＃xff09;&＃xff0c;但是没有足够精力去修改它&＃xff0c;所以CSP在有的服务里并没有严格限制&＃xff0c;则会存在被绕过的风险。

爱家人&＃xff0c;爱生活&＃xff0c;爱设计&＃xff0c;爱编程&＃xff0c;拥抱精彩人生&＃xff01;