【缺陷周话】第54 期:组件间通信XSS – 作者:奇安信代码卫士

代码审计是使用静态分析发现源代码中安全缺陷的方法,辅助开发或测试人员在软件上线前较为全面地了解安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并已成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

奇安信代码卫士团队基于自主研发的国内首款源代码安全检测商用工具,以及十余年漏洞技术研究的积累,推出“缺陷周话”系列栏目。每周针对 CWE、OWASP 等标准中的一类缺陷,结合实例和工具使用进行详细介绍,旨在为广大开发和安全人员提供代码审计的基础性标准化教程。

1、组件间通信 XSS

数据通过不可信赖的数据源进入Web应用程序,或者数据包含在未经验证而发送给Web用户的动态内容中,这两种情况都会导致XSS。对于组件间通信XSS而言,一般情况下不可信赖的数据源指的是位于同一系统上的其他组件接收的数据。例如在Android应用中,指从运行在同一设备中的应用程序获取的数据。对于反射型XSS,不可信赖的源通常为Web请求,当 URL 地址被打开时,特有的恶意代码参数被浏览器解析、执行。而对于存储型XSS,不可信赖的数据源通常为数据库或者其他后端存储数据,当获取该数据时程序未对其进行过滤,浏览器会解析执行XSS代码。本文以J**A语言源代码为例,分析“组件间通信XSS”缺陷产生的原因以及修复方法。该缺陷的详细介绍请参见:

  • CWE ID 79: ImproperNeutralization of Input During Web Page Generation (‘Cross-site Scripting’)(http://cwe.mitre.org/data/definitions/79.html)

  • CWE ID 80: Improper Neutralization of Script-Related HTML Tags in a Web Page (BasicXSS)(http://cwe.mitre.org/data/definitions/80.html)

  • CWE ID 81: Improper Neutralization of Script in an Error Message Web Page (http://cwe.mitre.org/data/definitions/81.html)

  • CWE ID 82: Improper Neutralization of Script in Attributes of IMG Tags in a Web Page (http://cwe.mitre.org/data/definitions/82.html)

  • CWE ID 83: Improper Neutralization of Script in Attributes in a Web Page (http://cwe.mitre.org/data/definitions/83.html)

2、“组件间通信 XSS”的危害

javaScript 调用应用程序代码打破了传统浏览器安全模式。如果用户被WebView导航到不受信任的恶意网站,恶意页面可能会对潜在敏感应用程序数据进行访问。同样,应用程序使用HTTP加载网页而用户连接了不安全的wifi网络,则攻击者可能会将恶意内容注入页面并引发类似攻击。

从2018年1月至2019年9月,CVE中共有2条漏洞信息与其相关。漏洞如下:

CVE 概述
CVE-2019-1677 Android 版Cisco Webex Meetings 中的漏洞可能允许未经身份验证的本地攻击者对应用程序执行跨站点脚本攻击。该漏洞是由于对应用程序输入参数的验证不足所致。攻击者可以通过 Intent 将恶意请求发送到 Webex Meetings 应用程序来利用此漏洞。成功利用此漏洞可以使攻击者在 Webex Meetings 应用程序的上下文中执行脚本代码。11.7.0.236 之前的版本会受到影响。
CVE-2018-18362 适用于Android 的 Norton Password Manager(以前称为Norton IdentitySafe)可能容易受到跨站点脚本(XSS)的利用,攻击者可以将客户端脚本注入其他用户查看的网页中,也可能利用跨站点脚本漏洞潜在地绕过诸如同源策略之类的访问控制。

3、示例代码

3.1 缺陷代码

缺陷代码.png

上述代码操作是获取 intent(intent用于解决Android应用的各项组件之间的通讯,可简单理解为消息传递工具)接收到的值作为 url 并使用 WebView 进行加载。首先第14行 Activity 加载布局文件,第15行通过 findViewById() 方法找到布局文件中对应的 WebView 控件,第16行允许 WebView 执行JavaScript 脚本。第17行 this.getIntent() 先获取到上一个 Activity 启动的intent,然后调用 getExtras() 方法得到intent所附带的额外数据,这些数据以 KEY- VALUE 的形式存在,getString(“url”) 获取到 KEY 为“url”对应的值。第18行 WebView 作为网页加载控件对指定的url进行加载。 如果 url 的值以“javascript:”开头,则接下来的 JavaScript 代码将在 WebView 中的Web 页面上下文内部执行,例如 “javascript:alert(/xss/)”会在页面中弹出一个警告消息框,破坏网页结构。

使用代码卫士对上述示例代码进行检测,可以检出“组件间通信XSS”缺陷,显示等级为高,从跟踪路径中可以分析出数据的污染源以及数据流向。在代码行第18报出缺陷,如图1所示:

缺陷检测.png

图1:“组件间通信 XSS”检测示例


3.2 修复代码

修复代码.png

在上述修复代码中,在第19行使用 Uri.encode()对接收的url进行编码,该方法使用UTF-8编码集将给定字符串中的某些字符进行编码,避免不安全字符引起程序解析歧义,其中字母(“A-Z”,”a-z”),数字(“0-9”),字符(“ _- !.〜’()*”)不会被编码。

使用代码卫士对修复后的代码进行检测,可以看到已不存在“组件间通信XSS”缺陷。如图2所示:

修复检测.png

图2:修复后检测结果


4、如何避免“组件间通信 XSS”

(1)对用户的输入进行合理验证,对特殊字符(如<、>、’、”等)以及 <script>、 javascript 等进行过滤。

(2)采用 OWASP ESAPI 对数据输出 HTML 上下文中不同位置(HTML 标签、HTML 属性、JavaScript 脚本、CSS、URL)进行恰当的输出编码。

(3)设置 HttpOnly 属性,避免攻击者利用跨站脚本漏洞进行 Cookie 劫持攻击。在 Java EE 中,给 Cookie 添加 HttpOnly 的代码如下:

结尾.png



推荐阅读

【缺陷周话】第53期:不当的循环终止

【缺陷周话】第52期——不安全的SSL:过于广泛的信任证书

【缺陷周话】第51期:死代码

【缺陷周话】第50期:日志伪造

【缺陷周话】第49期:未使用的局部变量

【缺陷周话】第48期:动态解析代码

【缺陷周话】第47期:参数未初始化

【缺陷周话】第46期:邮件服务器建立未加密的连接

【缺陷周话】第45期:进程控制

【缺陷周话】第44期:Spring Boot 配置错误:不安全的 Actuator

【缺陷周话】第43期:不当的函数地址使用

【缺陷周话】第42期 — Cookie:未经过SSL加密

【缺陷周话】第41期:忽略返回值

【缺陷周话】第40期:JSON 注入

【缺陷周话】第 39期:解引用未初始化的指针

【缺陷周话】第 38期——不安全的反序列化:XStream

【缺陷周话】第 37期:未初始化值用于赋值操作

【缺陷周话】第 36 期:弱验证

【缺陷周话】第 35 期:除数为零

【缺陷周话】第 34 期:重定向

【缺陷周话】第 33期:错误的资源关闭

【缺陷周话】第 32期:弱加密

【缺陷周话】第 31 期:错误的内存释放方法

【缺陷周话】第 30 期:不安全的哈希算法

【缺陷周话】第 29 期:返回栈地址

【缺陷周话】第 28 期:被污染的内存分配

【缺陷周话】第 27 期:不安全的随机数

【缺陷周话】第 26期:被污染的格式化字符串

【缺陷周话】第 25期:硬编码密码

【缺陷周话】第 24期:在scanf 函数中没有对 %s 格式符进行宽度限制

【缺陷周话】第 23期:双重检查锁定

【缺陷周话】第 22期:错误的内存释放对象

【缺陷周话】第 21 期:数据库访问控制

【缺陷周话】第 20 期:无符号整数回绕

【缺陷周话】第19期:LDAP 注入

【缺陷周话】第18 期  XPath 注入

【缺陷周话】第17 期:有符号整数溢出

【缺陷周话】第 16 期 — 资源未释放:流

【缺陷周话】第 15 期 — 资源未释放:文件

【缺陷周话】第 14 期 :HTTP 响应截断

【缺陷周话】第 13期 :二次释放

【缺陷周话】第 12期 :存储型 XSS

【缺陷周话】第 11期 :释放后使用

【缺陷周话】第 10 期 :反射型 XSS

【缺陷周话】第 9 期 :缓冲区下溢

【缺陷周话】第 8 期 :路径遍历

【缺陷周话】第 7 期 :缓冲区上溢

【缺陷周话】第 6 期 :命令注入

【缺陷周话】第5期 :越界访问

【缺陷周话】第4期 :XML 外部实体注入

【缺陷周话】第3期 :内存泄漏

【缺陷周话】第 2 期 :SQL 注入

【缺陷周话】第1期 :空指针解引用

*奇安信代码卫士团队原创出品。未经许可,禁止转载。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士二维码.jpg

来源:freebuf.com 2019-10-16 11:49:59 by: 奇安信代码卫士

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论