CAPEC-18: XSS攻击Non-Script元素 |
 描述
这种攻击是一种跨站点脚本(XSS),恶意脚本嵌入元素不会主机脚本如图像标记(< img >),评论在XML文档中(< ! cdata - >),等等。这些标记可能不是相同的输入验证,验证、输出和其他内容过滤和检查例程,所以这可以创建一个机会,可以让敌人隧道通过应用程序的元素和通过其他元素发动XSS攻击。与所有远程攻击,重要的是要区分发动袭击的能力(如探测应用补丁的服务器)的内部网络和远程对手的能力收集和解释说攻击的输出。
攻击的可能性
典型的严重性
的关系
 此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
588年 |
基于dom的XSS |
| ChildOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
591年 |
反映XSS |
| ChildOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
592年 |
存储XSS |
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
探索
调查申请用户可控的输入:使用浏览器或一个自动化工具,敌人记录输入的所有入口点,恰巧是反映在客户端non-script元素。这些non-script元素可以位于HTML内容(头、身体、评论),在HTML标签,XML、CSS等等。
| 技术 |
| 使用搜索工具跟踪和记录所有非静态链接可能有输入参数(通过形式、URL、碎片等)积极使用的Web应用程序。 |
| 使用一个代理工具来记录所有的链接访问web应用程序的手册中遍历。 |
| 网站使用浏览器手动探索和分析它是如何构建的。许多浏览器的插件可以促进分析或自动发现。 |
实验
XSS漏洞探测识别潜在入口点:对手使用入口点聚集在“探索”阶段作为目标列表和注入各种常见脚本载荷可以确定一个入口点实际上代表一个脆弱和描述在多大程度上可以利用的漏洞。
| 技术 |
| 手动注入各种脚本载荷每个确定入口点使用的公共脚本注入探针通常工作在客户端non-script元素上下文和观察系统行为来确定脚本被执行死刑。因为这些探针可能不得不被注入在许多不同类型的non-script元素,他们应该涵盖了各种可能的上下文(CSS, HTML标记、XML等)。 |
| 使用一个自动注入攻击工具注入各种脚本载荷每个确定入口点使用的公共脚本注入探针通常工作在客户端non-script元素上下文和观察系统行为来确定脚本被执行死刑。因为这些探针可能不得不被注入在许多不同类型的non-script元素,他们应该涵盖了各种可能的上下文(CSS, HTML标记、XML等)。 |
| 使用一个代理工具记录创建请求的结果。 |
创建恶意XSS内容:一旦对手决定哪些入口点是容易受到XSS,他们将与web应用程序存储恶意内容。因为这种攻击的本质,它主要是通过存储XSS,虽然可以执行这个使用反映XSS攻击。敌人可以有许多目标,从窃取会话id,饼干,凭据和页面内容从一个受害者。
| 技术 |
| 商店页面上的恶意脚本,伪装成一个non-script元素,将执行时被受害者。 |
| 使用工具,如牛肉存储钩到web应用程序。这将提醒对手当受害者访问内容和将对手控制受害者的浏览器,允许他们访问饼干,用户截图、用户剪贴板,和更复杂的XSS攻击。 |
利用
让受害者视图存储内容:为了成功的攻击,受害者需要查看存储恶意网页上的内容。
| 技术 |
| 发送网络钓鱼电子邮件包含一个URL的受害者,这将直接存储的恶意内容。 |
| 只是等待一个受害者视图的内容。这是可行的,在内容的情况下发布到一个受欢迎的公共论坛。 |
先决条件
技能要求
|
(等级:低) 实现重定向和使用更少的可靠来源,敌人可以编辑内容,如XML有效负载或HTML文件发送到客户机。 |
|
(级别:高) 开发一个客户端漏洞将恶意脚本注入浏览器的执行过程。 |
所需资源
| 能力包括恶意脚本文件,例如HTML文件或XML文档。部署自定义敌对目标客户服务的访问。沟通能力与客户端机器同步或异步 |
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
保密
完整性
可用性 |
执行未经授权的命令 |
|
|
保密 |
读取数据 |
|
缓解措施
| 除了传统的输入字段,所有其他用户可控的输入,如图像标记在消息或喜欢,也必须接受输入验证。这样的验证应该确保内容可能解释为脚本的浏览器是适当的过滤。 |
| 所有输出显示给客户必须适当地逃脱了。确保浏览器解释特殊的脚本字符转义而不是脚本执行。 |
例子,实例
一个在线论坛允许其成员html有效发布消息,其中也包括图像标记。恶意用户嵌入JavaScript在IMG标记消息被执行在受害者的浏览器当受害者读取这些信息。
< img src = javascript:警报(XSS) > 在受害者的浏览器中执行时,恶意脚本可以完成许多对手的目标包括窃取敏感信息,如用户名,密码,或饼干。 |
引用
|
[REF-1] g·霍格伦德和g·麦格劳。“利用软件:如何打破代码”。addison - wesley。2004 - 02。 |
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2017-01-09
(版本2.9) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2017-05-01
(版本2.10) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attack_Prerequisites、Attacker_Skills_or_Knowledge_Required Examples-Instances、Related_Attack_Patterns Related_Vulnerabilities, Related_Weaknesses, Solutions_and_Mitigations Typical_Likelihood_of_Exploit |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Example_Instances Execution_Flow |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Execution_Flow |
| 2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Example_Instances |
| 以前的条目名称 |
| 改变日期 |
以前的条目名称 |
| 2017-05-01
(版本2.10) |
在Non-Script中嵌入脚本元素 |
|
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
