Browser’s Session History And XSLeak
A browser’s session history keeps track of the navigations in each tab, to support back/forward navigations and session restore. This is in contrast to “history” (e.g., chrome://history ), which tracks the main frame URLs the user has visited in any tab for the lifetime of a profile.
History API usage
https://developer.mozilla.org/en-US/docs/Web/API/History_API#concepts_and_usage
1 | // |
popstate event
Popstate là một event của window được kích hoạt mỗi khi người dùng điều hướng session history (back, forward, go).
1 | window.addEventListener("popstate", (event) => { |
history.pushState
pushState sẽ thêm một entry mới trong session history
1 | history.pushState('page 1', "title 1", "?page=1"); |
Cần lưu ý là không thể thêm entry khác origin với origin hiện tại:
1 | history.pushState('page 2', "title 1", "https://example.com"); |
VM2110:1 Uncaught DOMException: Failed to execute ‘pushState’ on ‘History’: A history state object with URL ‘https://example.com/' cannot be created in a document with origin ‘http://127.0.0.1:5500' and URL ‘http://127.0.0.1:5500/index.html?page=1'. at
:1:9
history.replaceState
Thay thế state hiện tại bằng một giá trị được replace:
1 | history.pushState('page 1', "title 1", "?page=1"); |
XSLeak với Session History
Leak thông qua navigation với thuộc tính history.length
Đầu tiên giả sử cửa sổ đang ở một trang là https://abc.com, và bây giờ ta sẽ mở một window với một trang khác origin:
1 | w = window.open('https://example.com') |
Ở cửa sổ mới, vào console rồi pushState như sau:
1 | history.pushState('','','?q=abc') |
Quay lại cửa sổ cũ, ta không thể truy xuất history.length:
1 | w.history.length |
VM5175:1 Uncaught DOMException: Failed to read a named property ‘history’ from ‘Window’: Blocked a frame with origin “http://127.0.0.1:5500" from accessing a cross-origin frame. at
<anonymous>:1:3
Tuy nhiên, nếu ta set location của cửa sổ mới thành một giá trị thõa mãn same origin với cửa sổ hiện tại thì ta có thể truy xuất được giá trị đó, ta có 2 cách:
- Set origin thành
about:blank - Set origin thành giá trị của cửa sổ https://abc.com
Thực hiện lại quá trình trên:
1 | w = window.open('https://example.com') |
Ở bên kia push state:
1 | history.pushState('','','?q=abc') |
Quay trở lại trang abc.com:
1 | w.location='about:blank' |
Ta đã hiểu được concept cơ bản, bây giờ mình sẽ nói tiếp trong ngữ cảnh cụ thể.
Giả sử nếu chức năng tìm kiếm của một trang web có chức năng như sau:
- Nếu tìm kiếm một secret thành công nó sẽ redirect ta đến một trang nào đó
Ví dụ như ta xác định được nếu tìm kiếm thành công thì history.length đã redirect sẽ là 4, còn tìm kiếm sai thì là 3.
- Bây giờ ta chỉ cần search từng kí tự, nếu redirect là 4 thì kí tự đó đúng, còn không thì là sai, cứ thế cho đến khi ta lấy được secret.
Cụ thể hơn về ngữ cảnh bạn có thể xem thêm ở đây:
- https://github.com/aszx87410/ctf-writeups/issues/51
- https://ctf.zeyu2001.com/2021/htx-investigators-challenge-2021#securebank-xss-search
Protection
Thêm header Cross-Origin-Opener-Policy:
1 |
|
Additional trick: set giá trị của header HTTP referer
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy#unsafe-url_2
Ta có thể set giá trị của referer với toàn bộ url kể cả path, query, hash,… với meta tag:
1 | <meta name="referrer" content="unsafe-url" /> |
Khi này giá trị của referrer nếu được bắt từ trang này sẽ là:
1 | https://example.com?q=abc |