Araştırmacı, ilham veren stil etiketi hilesiyle e-posta filtresini atlıyor
Gmail’in dinamik e-posta özelliği olan AMP for Email’deki bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı, bir güvenlik araştırmacısına 5.000 ABD doları tutarında bir hata ödülü ödemesi sağladı.
E-posta için AMP, AMP işlevselliğini zengin, etkileşimli e-postalara getirir. AMP’nin kendisi, web sitelerini mobil cihazlarda web taraması için optimize etmek için kullanılan açık kaynaklı bir HTML çerçevesidir.
Güvenlik açığını ortaya çıkaran Adi Cohen, AMP oyun alanında bir XSS’yi tetikleyen bir vektör bulmakta sorun yaşamadığını, ancak Gmail’in XSS filtresini atlamanın çok daha zor bir görev olduğunu söyledi.
Oluşturma bağlamları
Cohen, bir blog yazısında “Bir XSS filtresini atlatmanın en kolay yolu, onu tarayıcının belirli bir kod parçasını oluşturmak için gerçekten kullanacağından farklı bir oluşturma bağlamına kandırmaktır” dedi.
E-posta için AMP, şablonlar, SVG, matematik ve CSS’yi yasakladığı için, bunun yerine stil sayfalarını, birden çok oluşturma bağlamıyla bir XSS yüküne giden potansiyel bir yol olarak hedefledi.
İLİŞKİLİ Google Cloud’daki XSS güvenlik açıkları, Google Play hesapların ele geçirilmesine neden olabilir
Bu, stil sayfasının filtre ve tarayıcı tarafından nasıl “filtreyi sahte bir stil etiketinin gerçek olduğuna inandırarak” ya da “tam tersi” tarafından nasıl oluşturulduğu arasında bir tutarsızlık gerektiriyordu.
Cohen’in ilk vektörü sanal alanda çalıştı çünkü AMP “” dizesiyle karşılaşır karşılaşmaz CSS bağlamından ayrılır, hatta arkasında bir kapatma ayracı () veya en azından bir boşluk olmasa bile”.
Ardından, “tarayıcı açıkça tamamen yok sayar ve CSS alanı içinde kalırken filtreyi kandırarak HTML bağlamına geri döndüğümüze inandırmayı” başardı.
madde üzerinde
Ancak Cohen, “AMP’de umut verici bir vektör gibi görünen şey, Gmail sihrini üzerinde çalıştırdıktan sonra çok daha az ilginç görünüyordu” dedi.
Yükün Gmail tarafından değiştirilmeden döndürülmesini sağlayan bir CSS seçiciyi kullandığında bir atılım gerçekleşti – “kaçış veya başka mutasyon yok”.
Ancak, AMP korumalı alanı ” ile karşılaştıktan sonra kötü amaçlı yük bir hataya neden oldu, bu nedenle Cohen denedi, ancak Gmail’in filtresi .
Bunun yerine işe yarayan şey, iyi huylu bir yükü kodlanmış bir seçiciyle test etmekti – Gmail bunun kodunu çözdüğü için seçiciyi bir kapanış stili etiketi enjekte etmek için kullanabilirdi.
Cohen, sorunu 27 Mart 2021’de Google’a bildirdi ve 7 Temmuz’da sorunun çözüldüğünü fark etti.
tarafından daha önce bildirildiği gibi Günlük SwigGoogle, güvenlik araştırmacısı Michał Bentkowski’nin “DOM clobbering” saldırılarını etkinleştirmek için etiketlerdeki id özelliklerinden yararlandıktan sonra 2019’da AMP For Email’de ilgisiz, dikkate değer bir XSS’yi ele aldı.
İLİŞKİLİ Nextauth.js’deki kimlik doğrulama atlama hatası, e-posta hesabının devralınmasına izin verebilir