حمله Stored XSS چیست؟

stored xss attack

Stored XSS (که به آن حمله XSS مرتبه دو یا persistent هم می‌گویند) زمانی به وجود می‌آید که یک اپلیکیشن، داده را از یک منبع غیر قابل اطمینان دریافت می‌کند و آن داده را بدون رعایت ملاحظات امنیتی در پاسخ‌های HTTP بعدی خود استفاده می‌کند.

وبسایتی را فرض کنید که به کاربران اجازه می‌دهد روی پست‌های بلاگ نظر بگذارند، و آن نظرات به کاربران دیگر نمایش داده می‌شوند. کاربران نظرات خود را با یک ریکوئست HTTP شبیه این ریکوئست ثبت می‌کنند:

POST /post/comment HTTP/1.1      

Host: vulnerable-website.com   

Content-Length: 100    

postId=3&comment=This+post+was+extremely+helpful.&name=Carlos+Montoya&email=carlos%40normal-user.net   

بعد از این که این نظر ثبت شد، هر کاربری که از آن پست بلاگ بازدید کند، داده‌های زیر را در پاسخ اپلیکیشن دریافت می‌کند:

This post was extremely helpful.

با فرض این که اپلیکیشن هیچ‌گونه پردازش دیگری روی داده‌ها انجام نمی‌دهد، یک مهاجم می‌تواند یک نظر مخرب مانند نظر زیر ثبت کند:

<script>/* Bad stuff here… */</script>

داخل ریکوئست مهاجم، این کامنت به صورت زیر انکود می‌شود تا به فرمت URL دربیاید:

comment=%3Cscript%3E%2F*%2BBad%2Bstuff%2Bhere…%2B*%2F%3C%2Fscript%3E

حالا هر کاربری که به این پست بلاگ سر بزند، در پاسخ اپلیکیشن داده‌های زیر را دریافت می‌کند:

<p><script>/* Bad stuff here… */</script></p>

سپس اسکریپت نوشته‌شده توسط مهاجم روی مرورگر کاربر قربانی، و در چارچوب سشن آن کاربر با اپلیکیشن (یعنی با تمام مجوزهای کاربر در اپلیکیشن) اجرا می‌شود.

عواقب و دامنه تاثیرات Stored XSS 

اگر یک مهاجم بتواند اسکریپتی را که در مرورگر کاربر اجرا می‌شود کنترل کند، معمولا می‌تواند به طور کامل دسترسی‌های آن کاربر را به دست آورد. یک مهاجم اگر بتواند این حمله را به صورت موفقیت‌آمیز اجرا کند، می‌تواند تمام اقداماتی را که در یک حمله موفق Reflected XSS قابل انجام هستند، انجام دهد.

تفاوت اساسی در اکسپلویت آسیب‌پذیری Reflected XSS و Stored XSS این است که آسیب‌پذیری Stored XSS به مهاجم اجازه می‌دهد حملات خود را کاملا در محدوده‌ی اپلیکیشن انجام دهد. در این نوع حمله، مهاجم نیازی ندارد که راهی خارجی پیدا کند و کاربران را فریب دهد تا ریکوئستی حاوی اکسپلویت هکر را ارسال کنند؛ در عوض در این نوع حمله مهاجم اکسپلویت خود را مستقیماً داخل خود اپلیکیشن قرار می‌دهد و منتظر می‌ماند تا کاربران به صفحات حاوی اکسپلویت سر بزنند.

stored xss

این ویژگی مستقل‌بودن اکسپلویت‌های Stored XSS به خصوص در مواقعی مفید واقع می‌شود که یک حمله XSS تنها در صورتی قابل انجام است که کاربران در اپلیکیشن لاگین کرده باشند. اگر آسیب‌پذیری XSS از نوع Reflected باشد، در این صورت مهاجم باید در زمان‌بندی حمله خوش‌شانس باشد: اگر هکر بتواند کاربری را فریب دهد و آن کاربر ریکوئست مورد نظر او را به اپلیکیشن بزند اما در اپلیکیشن لاگین نکرده باشد، حمله به نتیجه نمی‌رسد. برعکس، اگر حمله XSS از نوع Stored باشد، در این صورت زمانی که کاربر در معرض اکسپلویت قرار می‌گیرد، قطعا در اپلیکیشن لاگین کرده است.

با حملات XSS بیشتر آشنا شوید:

نحوه یافتن و تست آسیب‌پذیری‌های Stored XSS 

تست وجود آسیب‌پذیری‌های Stored XSS می‌تواند کار سختی باشد. برای این کار باید تمام «entry point»ها یا «نقاط ورودی» را تست کنید؛ یعنی تمام محل‌هایی که ممکن است داده‌‎های تحت کنترل هکر از آن‌ها وارد اپلیکیشن شده و پردازش شوند. علاوه بر این باید تمام «exit point»ها یا «نقاط خروجی» را هم تست کنید؛ یعنی تمام محل‌هایی که ممکن است پاسخ‌های اپلیکیشن در آن‌ها نمایش داده شود.

چند مورد از نقاط ورودی داده به اپلیکیشن عبارتند از:

  • پارامترها یا داده‌های دیگر داخل استرینگ کوئری URL و بدنه‌ی پیام HTTP.
  • مسیر فایل URL.
  • هدرهای ریکوئست HTTP که ممکن است برای انجام حملات Reflected XSS قابل اکسپلویت نباشند، اما برای این حمله باید تست شوند.
  • تمام routeها یا همان مسیرهای out-of-band که یک مهاجم ممکن است از طریق آن‌ها به اپلیکیشن داده منتقل کند. مسیرهای موجود کاملا به قابلیت‌های پیاده‌سازی‌شده توسط اپلیکیشن بستگی دارند: یک اپلیکیشن webmail داده‌های دریافت‌شده در ایمیل‌ها را پردازش می‌کند؛ اپلیکیشنی که تایم‌لاین توییتر را نشان می‌دهد ممکن است داده‌های موجود در توییت‌های مختلف را پردازش کند؛ و در نهایت یک اپلیکیشن جمع‌آوری و نمایش خبر حاوی داده‌هایی است که از وبسایت‌های مختلف دیگر جمع‌آوری شده‌اند.
xss

نقاط خروجی حملات Stored XSS تمام پاسخ‌های HTTP احتمالی هستند که تحت هر شرایطی به هرگونه کاربر اپلیکیشن نمایش داده می‌شوند.

گام اول تست وجود آسیب‌پذیری Stored XSS، یافتن روابط میان نقاط ورودی و خروجی است؛ یعنی مسیری که یک داده از ثبت در نقطه ورودی تا نمایش در نقطه خروجی طی می‌کند. این کار به دلایل مختلفی ممکن است دشوار باشد، از جمله:

  • داده‌ی ثبت‌شده در هر نقطه ورودی، عملا ممکن است در هر نقطه خروجی نمایش داده شود. برای مثال، نامی که کاربر وارد کرده، ممکن است فقط در لاگ‌های ممیزی پنهانی نمایش داده شود که فقط تعداد کمی از کاربران اپلیکیشن قادر به مشاهده آن‌ها هستند.
  • بسیار اتفاق می‌افتد که داده‌ای که در جایی از اپلیکیشن ذخیره شده، به خاطر انجام اقداماتی در جای دیگری داخل اپلیکیشن، بازنویسی می‌شود. برای مثال، ممکن است ماژول جستجو لیستی از آخرین افرادی که در سایت جستجو کرده‌اند نمایش دهد، ولی این لیست با انجام جستجو توسط کاربران دیگر به‌سرعت تغییر می‌کند.

یکی دیگر از انواع حملات XSS :

برای این که بتوانید به طور کامل و جامع تمام مسیرهای بین نقاط ورودی و خروجی را شناسایی کنید، باید تمام ترکیب‌های ممکن را به طور جداگانه تست کنید، یعنی یک مقدار خاص و قابل تشخیص در نقطه ورودی مورد نظر ثبت کنید، مستقیما سراغ نقطه خروجی مورد نظر بروید و بررسی کنید که مقداری که ثبت کرده‌اید در آن نمایش داده می‌شود یا نه. با این وجود، برای اپلیکیشنی که تعداد پیج‌های زیادی داشته باشد، این راه عملاً ممکن نیست.

یک راه دیگر!

یک راه واقع‌گرایانه‌تر این است در تمام نقاط ورودی به ترتیب یک مقدار قابل تشخیص و متمایز وارد کنید و سپس پاسخ‌های اپلیکیشن را مانیتور کنید تا بتوانید مواردی را که یکی از آن مقادیر خاص دیده می‌شود تشخیص دهید. البته می‌توانید روی برخی از قابلیت‌های خاص اپلیکیشن، مثل پست‌های بلاگ، تمرکز بیشتری بگذارید. وقتی مقدار ثبت‌شده را در پاسخ اپلیکیشن مشاهده کردید، باید بررسی کنید که آسیب‌پذیری واقعا Stored XSS هست و داده در اپلیکیشن ذخیره شده و در چندین پاسخ مختلف نمایش داده شده، یا آسیب‌پذیری صرفا از نوع Reflected XSS بوده و داده فقط در یک پاسخ نمایش داده شده است.

وقتی تمام مسیرهای بین نقاط ورودی و خروجی را در اپلیکیشن پیدا کردید، باید هر مسیر را به صورت جداگانه تست کرده و بررسی کنید آسیب‌پذیری Stored XSS در آن وجود دارد یا نه. برای این کار باید بررسی کنید داده‌های ذخیره‌شده، در چه بستری داخل پاسخ اپلیکیشن ظاهر می‌شوند (مثلا داخل یک تگ HTML ظاهر می‌شوند، به عنوان یک attribute یک تگ ظاهر می‌شوند، به عنوان یک استرینگ جاوااسکریپت ظاهر می‌شوند یا…)، و سپس پی‌لودهای XSS مناسب برای آن بستر را انتخاب کنید. از این‌جا به بعد، روش تست تا حد زیادی شبیه یافتن آسیب‌پذیری‌های Reflected XSS است.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *