4.2 La struttura della rete
5.1.3 XSS Stored
Dalle prove di laboratorio eseguite, appare chiaro che i possibili attacchi XSS Stored sono molti e che non `e facile intuire tutte le forme sotto le quali possono presentarsi.
Considero pertanto i casi studiati durante gli esercizi con Gruyere, cercando di elaborare regole che ne comprendano tutte le possibili varianti.
XSS tramite file upload
I controlli che devo fare sul contenuto di un file caricato da un utente sono sostanzialmente gli stessi visti per gli attacchi di tipo XSS reflected, con la differenza che in questo caso il contenuto del file `e presente nel payload del pacchetto e non pu`o essere intercettato con l’opzione uricontent. Devono piuttosto essere usate opzioni come content o pkt data o file data. Tutte e tre danno origine a regole in grado di intercettare il contenuto richiesto.
Scelgo qui file data.
Per il controllo del tag script all’interno del file ho elaborato questa regola: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg: "WEB attacco XSS tramite file upload con presenza del
tag script nel contenuto del file"; flow: to_server, established; file_data; content: "<script"; nocase; sid: 5;)
Con file data, il pattern specificato viene cercato nei seguenti buffer: corpo della risposta HTTP (senza frammentazione, compressione o norma- lizzazione), corpo della risposta HTTP deframmentato, corpo della risposta HTTP decompresso (se `e posta a on l’opzione “inspect gzip”, come accade qui), corpo della risposta normalizzato (quando `e attivata anche l’opzione “normalized javascript”, come accade nella mia configurazione), corpo del- la risposta UTF-normalizzata (quando `e attivata anche l’opzione “normali- ze utf”, come `e anche nel file di configurazione che utilizzo), oppure tutti i precedenti.
Ho quindi tentato di riprodurre l’attacco XSS tramite file upload sul server Gruyere, caricando un file html con il seguente contenuto:
<script> alert(document.cookie); </script>
Ho provato a portare lo stesso attacco inserendo degli spazi tra il carat- tere < e la parola chiave “script”. Il file viene caricato, ma quando lo si richiama dal browser, lo script non viene eseguito, ma viene mostrato come testo all’interno del file.
La stessa cosa accade se provo a mascherare nel file di testo il carattere <. Nel file per`o potrebbero anche essere inseriti degli url che contengono carat- teri codificati (tipicamente il carattere <, con la sequenza %3C, ad esempio. La seguente regola pu`o gestire il caso in cui il carattere < sia sostituito da una codifica.
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg: "WEB attacco XSS tramite file upload con presenza del tag script nel contenuto del file"; flow: to_server, established; file_data; content: "|3C|script"; nocase; sid: 5; rev:1;)
In un file di testo possono comparire anche sequenze di caratteri che in- terpretati come url danno esattamente <.
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg: "WEB attacco XSS tramite file upload con presenza del tag script nel contenuto del file"; flow: to_server, established; file_data; pcre: "/(%3C|\<|\<|\C){1}(\;)?script/i"; sid: 5; rev:3;) Uso qui per la prima volta l’opzione pcre che mi permette di usare delle espressioni regolari per cercare un determinato pattern. Riferimenti all’uti- lizzo di pcre sono presenti in [13], [14] e [15] per l’uso delle espressioni regolari in perl (al quale quest’opzione si ispira). Sono stati utili anche gli esempi per l’uso dell’opzione pcre nelle regole Snort in [16].
In realt`a le codifiche possibili per il carattere < sono molte di pi`u di quelle contemplate in questa regola.
Una lista si trova nel documento [3]:
’<’, ’%3C’, ’<’, ’<’, ’<’, ’<’, ’<’,’<’,’<’, ’<’,’<’,’<’,’<’,’<’,’<’,’<’, ’<’,’<’,’<’,’<’,’<’,’<’, ’<’,’<’,’<’,’<’,’<’,’<’, ’<’,’<’,’<’,’<’,’<’,’<’, ’<’,’<’,’<’, ’<’,’<’,’<’, ’<’,’<’,’<’,’<’,’<’,’<’, ’<’,’<’,’<’,’<’,’<’,’<’, ’<’,’<’,’<’,’<’,’<’,’<’, ’<’,’<’,’<’,’<’,’<’,’<’, ’<’,’<’,’\x3c’,’\x3C’,’\u003c’,’\u003C’
Provo quindi a riscrivere la regola in questo modo:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg: "WEB attacco XSS tramite file upload con presenza del
tag script nel contenuto del file"; flow: to_server, established; file_data;
pcre: "/(<|%3C|\<|\&#(0){0,5}60|\&#x(0){0,5}3C|\\x3c|\u003c){1} (\;)?script/i"; sid: 5; rev: 4;)
oppure, pi`u genericamente
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg: "WEB attacco XSS tramite file upload con presenza del tag script nel contenuto del file"; flow: to_server, established; file_data; pcre: "/(<|3C|\<|\&#(0){0,5}60|\&#x(0){0,5}3C|\\x3c|\u003c){1}(\;)? script/i"; sid: 5; rev: 5;)
Le codifiche possono anche non riguardare soltanto il tag <, ma anche la parola “script”. Utilizzando il software in [5] posso mostrare come, ad esempio, la sequenza di caratteri:
script codifichi la parola script.
Altre codifiche possibili sono:
script oppure in esadecimale:
%73%63%72%69%70%74%0A oppure ancora in html:
script
 mentre in base64 la stringa risulterebbe:
c2NyaXB0Cg==
Quindi si pu`o generalizzare la regola in questo modo:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg: "WEB attacco XSS tramite file upload con presenza del tag script nel contenuto del file"; flow: to_server, established; file_data; pcre: "/(<|3C|\<|\&#(0){0,5}60|\&#x(0){0,5}3C|\\x3c|\u003c){1}(\;)? (s|\s(\;)?|%73|\s(\;)?){1}(c|\c(\;)?|%63|\c(\;)?){1} (r|\r(\;)?|%72|\r(\;)?){1}(i|\i(\;)?|%69|\i(\;)?){1} (p|\p(\;)?|%70|\p(\;)?){1}(t|\t(\;)?|%74|\t(\;)?){1}/i"; sid: 5; rev: 6;)
Non sto contemplando ancora tutte le possibili codifiche per un attacco, perch´e sono possibili anche altre soluzioni.
I filtri XSS possono essere aggirati anche inserendo un contenuto codifi- cato in base64.
In modo simile a prima posso costruire una regola che cerchi il contenuto data: separato da alcuni caratteri dalla stringa base64
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg: "WEB: attacco XSS tramite upload di un file contenente un url di dati"; flow: to_server, established; file_data; pcre: "/data:(.|\s)*base64/i"; sid: 6;)
In altri casi possono essere inserite anche sequenze di caratteri codificati in attributi di tag e questo pu`o essere veicolo di attacchi di vario genere. Posso cercare in un file caricato sequenze di caratteri di questo tipo, inseriti dopo un segno di uguale:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg: "WEB: attacco XSS tramite upload di un file contenente caratteri codificati dopo un segno di uguale:";
flow: to_server, established; file_data; pcre: "/(=|%3D|\=|\=){1}(.)*
(\&#x(\d|A|B|C|D|E|F){2,7}(\;)?){1,10}/i"; sid: 7;) oppure
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg: "WEB: attacco XSS tramite upload di un file contenente caratteri codificati dopo un segno di uguale:"; flow: to_server, established; file_data; pcre: "/(=|%3D|\=|\=){1}(.)* (\&#(\d){2,7}(\;)?){1,10}/i"; sid: 8;)
Le espressioni regolari qui cercano il segno di uguale (anche codificato) seguito da alcuni caratteri (potrebbero esserci ad esempio i doppi apici o degli spazi), seguiti da stringhe di caratteri (il loro numero `e variabile da 1 a 10) che iniziano con &# oppure &#x e sono seguiti da cifre (in numero da 2 a 7). Il carattere di punto e virgola finale `e opzionale.
Un’altra sequenza di caratteri codificati pu`o essere quella che antepone il segno di percentuale al codice esadecimale del carattere.
La regola per intercettare questo tipo di input in un file `e:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg: "WEB: attacco XSS tramite upload di un file contenente caratteri codificati dopo un segno di uguale:";
flow: to_server, established; file_data; pcre: "/(=|%3D|\=|\=){1}(.)* (%((\d|A|B|C|D|E|F){2,7}){1,10}/i"; sid: 9;)
Potenzialmente queste regole possono generare dei falsi positivi, se il ca- rattere di uguale si trova in un testo ed `e seguito da un carattere codificato html (potrebbe essere il caso di una formula o di un carattere speciale in un testo lecito). Considerando per`o questo testo poco frequente in un normale input, posso pensare di mantenerla nel gruppo delle regole valide per il rile- vamento di un attacco.
Un ulteriore controllo riguarda la presenza di attributi che possano far eseguire codice javascript.
Per ognuno di questi attributi dovr`o definire una regola di cui presento qui la forma generale.
Supponendo che $JSCRIPT ATTR assuma via via il valore di ognuno degli attributi in questione, si ha:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg: "WEB XSS stored tramite inserimento di attributi che
supportano javascript, $JSCRIPT_ATTR"; flow: to_server, established; file_data; content: "$JSCRIPT_ATTR"; nocase; sid:10;)
A differenza del caso di XSS Reflected, dovr`o tener conto delle possibili codifiche. Ecco un esempio con “onerror”:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg: "WEB XSS stored tramite inserimento di attributi che supportano javascript, onerror";
flow: to_server, established; file_data; pcre: "/(o|%6F|\o(\;)?|\o(\;)?){1} (n|%6E|\n(\;)?|\n(\;)?){1} (e|%65|\e(\;)?|\e(\;)?){1} (r|%72|\r(\;)?|\r(\;)?){1} (r|%72|\r(\;)?|\r(\;)?){1} (o|%6F|\o(\;)?|\o(\;)?){1} (r|%72|\r(\;)?|\r(\;)?){1}/i"; sid:10; rev:1;)
Non posso dimenticare che i caratteri alfabetici possono presentarsi come maiuscole o minuscole. Pertanto sempre per “onerror” la regola diverrebbe: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg: "WEB XSS stored tramite inserimento di attributi che supportano javascript - onerror"; flow: to_server, established; file_data; pcre: "/(o|O|%6F|%4F|\o(\;)?|\O(\;)?|
\o(\;)?|\O(\;)?){1} (n|N|%6E|%4E|\n(\;)?|\N(\;)?|N(\;)?|\n(\;)?){1} (e|E|%65|%45|\e(\;)?|\E(\;)?|\e(\;)?|\E(\;)?){1} (r|R|%72|%52|\r(\;)?|\R(\;)|\r(\;)?|\R(\;)?){1} (r|R|%72|%52|\r(\;)?|\R(\;)|\r(\;)?|\R(\;)?){1} (o|O|%6F|%4F|\o(\;)?|\O(\;)?|\o(\;)?|\O(\;)?){1} (r|R|%72|%52|\r(\;)?|\R(\;)|\r(\;)?|\R(\;)?){1}/i"; sid:10; rev:2;)