Una técnica sofisticada para evitar las protecciones de la Política de Seguridad de Contenido (CSP) utilizando una combinación de inyección HTML y manipulación de caché del navegador.
El método explota la interacción entre las implementaciones de CSP basadas en NonCe y los mecanismos de almacenamiento en caché del navegador, específicamente que se dirige a los sistemas de caché posterior/directo (BFCACHE) y de caché de disco.
Control de llave
1. Los investigadores explotan el almacenamiento en caché del navegador para evitar las protecciones de la política de seguridad de contenido.
2. Las técnicas CSS extraen valores Nonce CSP de metaetics a través de solicitudes de fondo.
3. Manipulación de caché del navegador reutiliza páginas con nonces conocidos para cargas útiles maliciosas.
4. La vulnerabilidad afecta la seguridad web fundamental contra los ataques de secuencias de comandos entre sitios.
Esta investigación demuestra cómo los atacantes pueden eludir uno de los mecanismos de seguridad más importantes de la Web al aprovechar el comportamiento inherente de almacenamiento en caché de los navegadores modernos, lo que podría exponer innumerables aplicaciones web a los ataques de secuencias de comandos de sitios cruzados (XSS) que previamente se pensaba que estaban protegidos.
Inyección de CSS con explotación de caché
Según el Jorian Woltjer InformeLa metodología de ataque se centra en explotar la reutilización de los valores de Nonce CSP a través de mecanismos de almacenamiento en caché del navegador.
El enfoque de varias etapas comienza con la inyección de CSS a los valores de fugas no CE de la aplicación objetivo.
La técnica utiliza selectores de atributos CSS para extraer valores de nonce de metaets que contienen encabezados CSP, como se demuestra en el código de prueba de concepto:
El equipo de investigación descubrió que si bien los atributos NONCE en las etiquetas de script están protegidos de los selectores CSS por razones de seguridad, los mismos valores reflejados en los atributos de contenido de meta etiqueta siguen siendo accesibles.
Esto permite a los atacantes filtrar sistemáticamente los valores de nonce utilizando técnicas de inyección CSS que generan múltiples solicitudes de fondo, reconstruyendo efectivamente el Nonce completo a través de secuencias de caracteres superpuestas.
El ataque aprovecha las vulnerabilidades de falsificación de solicitudes de sitios cruzados (CSRF) para actualizar la carga útil inyectada mientras se mantiene el acceso a la Nonce previamente filtrada.
Al explotar la falta de protección de CSRF del punto final de inicio de sesión, los atacantes pueden modificar la carga útil almacenada a través de envíos de formularios:
El avance radica en manipular la partición del caché del navegador y la interacción entre bfcache y el caché de disco.
Cuando las condiciones de BFCACHE fallan, como mantener las referencias de la ventana, el navegador vuelve a la memoria caché de disco, que preserva la página original con el NonCe conocido mientras permite actualizaciones de contenido dinámico.
Los investigadores identificaron que las entradas de caché se clasifican utilizando claves de aislamiento de red, que comprenden tanto el sitio de nivel superior como el sitio de marco actual, lo que permite la manipulación selectiva de caché.
El exploit requiere un tiempo preciso y una gestión de caché, utilizando diferentes parámetros de URL para crear entradas distintas de caché.
La técnica implica la carga de la página de destino con un parámetro único (/tablero de tablas de tablero), filtrando el nonce, actualizando la carga útil a través de CSRF, cargando el mismo punto final sin parámetros para actualizar el caché de perfil y finalmente navegar hacia atrás para activar la página almacenada en caché con la nueva carga útil.
Esta investigación revela implicaciones significativas para la seguridad de las aplicaciones web, ya que muchas aplicaciones dependen del CSP no basado en CSP como una defensa primaria contra los ataques XSS.
La técnica funciona en los navegadores modernos y requiere solo dos condiciones previas: la capacidad de filtrar los valores de NonCe a través de la inyección HTML y los mecanismos de entrega de carga útil separados.
Los profesionales de la seguridad ahora deben considerar el comportamiento de la caché al implementar las protecciones de CSP, lo que puede requerir salvaguardas adicionales, como encabezados de control de caché y estrategias mejoradas de generación de no CE, que representan los mecanismos de almacenamiento en caché del navegador.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}