最后更新于
最后更新于
Try Hard Security Group
推送通知权限直接影响Service Worker与服务器进行通信而无需直接用户交互的能力。如果权限被拒绝,将限制Service Worker对构成持续威胁的潜在性。相反,授予权限会增加安全风险,通过启用接收和执行潜在利用的功能。
为了利用这个漏洞,您需要找到:
一种上传任意JS文件到服务器的方法和一个XSS来加载上传的JS文件的Service Worker
一个易受攻击的JSONP请求,您可以操纵输出(使用任意JS代码)和一个XSS来加载带有有效负载的JSONP,这将加载恶意Service Worker。
在以下示例中,我将呈现一个代码来注册一个新的Service Worker,该Service Worker将侦听fetch
事件,并将发送每个获取的URL到攻击者的服务器(这是您需要上传到服务器或通过易受攻击的JSONP响应加载的代码):
以下是将注册工作线程的代码(您应该能够执行滥用XSS的代码)。在这种情况下,将向攻击者服务器发送GET请求,通知服务工作者的注册是否成功:
在滥用易受攻击的 JSONP 端点的情况下,您应该将值放在 var sw
内。例如:
importScripts
从Service Worker中调用的函数**importScripts
可以从不同域导入脚本**。如果使用攻击者可以修改的参数调用此函数,他将能够从自己的域导入JS脚本并获取XSS。
这甚至可以绕过CSP保护。
示例易受攻击的代码:
index.html
sw.js
有关DOM Clobbering的更多信息,请查看:
如果SW用于调用**importScripts
的URL/域位于HTML元素内**,则可以通过DOM Clobbering进行修改,使SW从您自己的域加载脚本。
有关此示例,请查看参考链接。
Try Hard Security Group
Service Worker是浏览器在后台运行的脚本,与任何网页分开,可以实现不需要网页或用户交互的功能,从而增强离线和后台处理功能。有关Service Worker的详细信息,请参阅。通过利用易受攻击的Web域中的Service Worker,攻击者可以控制受害者与该域内所有页面的交互。
可以在开发者工具的应用程序选项卡中的Service Workers部分检查现有的Service Workers。另一种方法是访问以获得更详细的视图。
有一个专门用于利用Service Workers的C2,名为,将非常有用来滥用这些漏洞。
24小时缓存指令将恶意或被入侵的service worker (SW) 的寿命限制在至多24小时,在修复XSS漏洞后,假设在线客户端状态。为了最小化漏洞,站点运营者可以降低SW脚本的存活时间(TTL)。开发人员还建议为快速停用创建一个。
您在网络安全公司工作吗? 想要在HackTricks中宣传您的公司? 或者想要访问PEASS的最新版本或下载HackTricks的PDF? 请查看!
发现我们的独家收藏品
获取
加入 或 或在Twitter上关注我 🐦.
通过向 和 提交PR来分享您的黑客技巧。