¿Se puede explotar de alguna manera importante el control del contenido de una propiedad de la URL de CSS?

1

En un sitio noté que estoy comprobando que cuando guardas la configuración de tu perfil después de cambiarla, uno de los parámetros en la solicitud POST es avatar_url.

Me di cuenta de que podía repetir la solicitud POST y cambiar este avatar_url a algo como enlace y ponerlo en el código como esto:

<span class="avatar-user user-avatar" data-name="e" style="background-image: url('http://example.com/malicious.html');"></span>

También lo cambié a javascript: alert (1) y nuevamente lo puse en el código así:

<span class="avatar-user user-avatar" data-name="e" style="background-image: url('javascript:alert\(1\)');"></span>

De hecho, cambia la URL a esto en el código, pero en realidad no lo muestra para la imagen. Parece tener algún filtro para no mostrarlo. Para la imagen de avatar, solo mostrará la primera letra de tu nombre de usuario.

¿Hay alguna manera de que este comportamiento pueda ser explotado para RCE o XSS o algún tipo de ejecución de código? Parece una mala idea aceptar cualquier URL, incluidas aquellas con archivos maliciosos para la URL de avatar, pero supongo que no es así si no la analiza.

    
pregunta Jack 02.04.2018 - 23:05
fuente

2 respuestas

4

Posiblemente. La respuesta contiene una URL dentro de CSS dentro de HTML. Los tres tienen diferentes regímenes de escape, y si el desarrollador de la aplicación no escapó por uno de estos derechos, es posible que pueda colarse en un XSS de un nivel inferior. Por ejemplo, ¿qué sucede si el URI del avatar termina en .../innocent.png')"><script src="malicious.js"></script> ?

También debe verificar posibles vulnerabilidades conocidas en el subsistema de procesamiento de imágenes de su navegador de destino. Probablemente esté al tanto de que se han descubierto y solucionado problemas graves en los renderizadores JPEG, PNG y GIF de varios navegadores, pero es menos conocido que muchos navegadores también admiten el uso de formatos de imagen más exóticos, como SVG y TIFF para fondos. TIFF, en particular, es un formato de contenedor altamente extensible, con una superficie de ataque potencial bastante amplia.

    
respondido por el dig 02.04.2018 - 23:23
fuente
0

El control de la url de un recurso, que es público para otros usuarios, abre las puertas para la falsificación de solicitudes entre sitios ( CSRF ). Esto no supondrá un riesgo de seguridad para su aplicación web, pero generará riesgos de seguridad para sus usuarios en otros sitios.

    
respondido por el mad_manny 03.04.2018 - 12:33
fuente

Lea otras preguntas en las etiquetas