0157-利用反射型XSS二次注入绕过CSP form-action限制

# 利用反射型XSS二次注入绕过CSP form-action限制

翻译:[SecurityToolkit](http://weibo.com/u/5824380435)

0x01 简单介绍
=========

* * *

CSP(Content-Security-Policy)是为了缓解XSS而存在的一种策略, 开发者可以设置一些规则来限制页面可以加载的内容.那文本中所说的form-action又是干啥的呢?用他可以限制form标签”action”属性的指向页面, 这样可以防止攻击者通过XSS修改表单的”action”属性,偷取用户的一些隐私信息.

0x02 实例分析
=========

* * *

上面讲的太抽象了, 如果不想看的话可以直接跳过….具体一点, 现在使用的是chrome浏览器, 假设下面这个secret.html是可能被XSS攻击的

“`
//XSS在这里, victim.com/secret.html?xss=xss

“`

这里有几处tricky的地方, 整个代码的步骤如下

1. input标签的form/formmethod/formaction将老form POST到oo.html的secret变成GET发送到secret.html即当前页面.

2. 跳转后仍处于secret.html因此该页面的XSS还可以被二次利用注入恶意标签, 这里又利用第二个input标签增加GET请求的xss参数, 所以跳转之后的URL变为

“`
http://victim.com/secret.html?secret=xiao_mi_mi&xss=

“`
3. 此时secret.html再次触发XSS, 被攻击者加入下面标签

“`

“`
4. 

正是最后这个link标签泄露了本该POST发送的secret, 攻击者通过利用一个反射型XSS将CSP的form-action绕过.

0x03 最后
=======

* * *

CSP能够从某种程度上限制XSS, 对网站的防护是很有益义的. 不过相比国外经常能够看到相关的讨论,国内CSP的推进和热度却是比较不尽人意的, 同时关于CSP也有很多有意思的安全点, 特此翻译出来以供大家学习和参考.

原文链接:[https://labs.detectify.com/2016/04/04/csp-bypassing-form-action-with-reflected-xss/](https://labs.detectify.com/2016/04/04/csp-bypassing-form-action-with-reflected-xss/)